16 sites web piratés et 617 M. de données privées vendues sur le dark web

Suite au piratage de 16 sites web dont Dubsmash, Armor Games et 500px, 617 millions de données personnelles se retrouvent en vente sur le dark web. Des bases de plusieurs gigaoctets contenant des noms, adresses e-mail et mots de passe ont été constituées.

C’est un vol de données personnelles de très grande ampleur qui vient d’être révélé par The Register. D’après notre confrère britannique, 617 millions de données personnelles ont été mises en vente sur le dark web suite au piratage de 16 sites web. Les sites concernés sont les suivants : Dubsmash (162 millions de données), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), BookMate (8 millions), CoffeeMeetsBagel (6 millions), Artsy (1 million) et DataCamp (700 000). En tout, ce vol représente près de 45 gigaoctets d’informations personnelles.

Les données privées ont été regroupées en datasets de plusieurs gigabits et sont en vente sur la place de marché pirate Dream Market. Le tarif proposé pour l’ensemble de ces données volées s’élève à plus de 20 000 dollars, payables en bitcoins. Parmi les informations privées, on trouve des noms d’utilisateurs, des adresses e-mail ou encore des mots de passe hashés ou chiffrés. Ces données auraient été collectées pour la plupart au cours de l’année 2018 mais leur mise en vente a seulement commencé cette semaine. D’après la source de The Register, la base contenant les informations personnelles d’utilisateurs de Dubsmash, un service d’édition de pistes audio, a été achetée par au moins une personne.
Des mots de passe parfois faiblement chiffrés

Attention car dans certains cas le déchiffrement de mots de passe peut être plus facile qu’il n’y parait. « Une personne achetant la prétendue base de données 500 px pourrait décoder les mots de passe les plus faibles de la liste, car certains ont été hachés à l’aide de l’algorithme obsolète MD5, puis essayer d’utiliser des combinaisons d’adresses e-mail et de mots de passe hashés, par exemple pour accéder à des comptes Gmail ou Facebook, où l’adresse e-mail et les mots de passe ont été réutilisés », précise notre confrère. En revanche, aucune donnée bancaire ne se retrouverait dans les datasets constitués par les pirates et mis en vente sur le dark web.