Les pirates ont piraté la base de données du site de rencontre en ligne PlentyOfFish.com, exposant les informations personnelles et les mots de passe de près de 30 millions d’utilisateurs. En réponse, le fondateur de la société a laissé entendre que l’éditeur de BreachTrace.com était impliqué dans un complot d’extorsion élaboré.
Se faire pirater n’est pas amusant. Apprendre que vous avez été piraté lorsqu’un journaliste appelle est probablement encore moins amusant. Mais pour le meilleur ou pour le pire, j’ai informé des dizaines d’entreprises de diverses violations au fil des ans, et j’ai appris à lire entre les lignes dans la façon dont les victimes réagissent. Habituellement, lorsque l’entreprise en question répond en vous impliquant dans un prétendu stratagème d’extorsion, deux choses deviennent claires :
1) Vous n’obtiendrez probablement pas de vraies réponses à vos questions directes sur l’incident, et ;
2) L’entreprise a presque certainement commis une grave infraction.
Plus tôt ce mois-ci, j’ai été contacté par un hacker argentin nommé Chris « Ch » Russo, qui a déclaré avoir trouvé des failles dans pof.com. En juillet 2010, Russo m’avait alerté sur certaines vulnérabilités de sécurité qu’il prétendait avoir trouvées sur le site Web de ThePirateBay.org, qui, selon lui, exposaient le mot de passe et d’autres données sur des millions d’utilisateurs de TPB. Le 19 janvier, j’ai de nouveau entendu parler de Russo, qui m’a dit que lui et quelques amis avaient trouvé des bogues dans pof.com qui leur permettaient de voir les informations de compte et de mot de passe sur n’importe quel utilisateur de PlentyofFish. Il a dit que l’information circulait dans la communauté des hackers et qu’il pourrait prouver que les failles existaient si je créais simplement un compte d’utilisateur gratuit sur le site. Je l’ai fait et Russo a commencé à me lire mes informations d’enregistrement.
Cela m’a suffi pour envoyer un e-mail au fondateur de pof.com Marcus Frind. Lorsque deux jours se sont écoulés et que je n’avais toujours pas reçu de réponse, j’ai demandé à Russo s’il avait d’autres informations de contact pour Frind ou d’autres administrateurs de pof.com. Pourquoi bien sûr, il les avait tous, dit-il. Il m’a donné le numéro de téléphone de l’amie de Frind, Annie. Une femme nommée Kate a répondu quand j’ai appelé, mais a dit qu’elle transmettrait mon message.
Au cours des 10 derniers jours, Frind a promis une réponse, mais a par ailleurs esquivé mes e-mails. J’ai commencé à rédiger un article de blog sur ce hack hier. Ce matin, je me suis réveillé pour trouver un article de blog décousu qui m’accuse indirectement de participer à une escroquerie d’extorsion, avant de revenir légèrement sur cette affirmation. À un moment donné dans le message de Frind, il dit qu’il s’est particulièrement alarmé lorsqu’il a vu que Russo et moi étions « amis » sur Facebook. Heureusement qu’il n’a pas vérifié le genre de personnes que je suis sur Twitter : il a peut-être vraiment fait une crise cardiaque !
Une partie de la raison pour laquelle pof.com a un problème est que sa base de données n’est pas sécurisée. POF prétend avoir fermé la faille de sécurité et réinitialisé tous les mots de passe des utilisateurs. Mais en plus de cela, la société semble stocker ses mots de passe client et utilisateur en texte brut, ce qui est un non-non de Security 101. Les entreprises qui ne prennent même pas cette mesure de sécurité de base, puis cherchent des endroits où pointer du doigt lorsqu’elles sont piratées, font preuve d’un grave mépris pour la sécurité et la confidentialité de leurs utilisateurs.