[ad_1]

Une intrusion dans un service de rencontres en ligne Cupidon Médias plus tôt cette année, a exposé plus de 42 millions de dossiers de consommateurs, y compris des noms, des adresses e-mail, des mots de passe non cryptés et des anniversaires, selon les informations obtenues par BreachTrace.

Les données volées au service de rencontres de niche basé à Southport, en Australie, Cupid Media, ont été trouvées sur le même serveur où les pirates avaient amassé des dizaines de millions d’enregistrements volés à Adobe, PR Newswire et au National White Collar Crime Center (NW3C), entre autres.

La base de données volée contient plus de 42 millions d’entrées dans le format indiqué dans l’image expurgée ci-dessous. J’ai contacté Cupid Media le 8 novembre. Six jours plus tard, j’ai eu des nouvelles de Andrew Bolton, directeur général de la société. Bolton a déclaré que l’information semble être liée à une violation qui s’est produite en janvier 2013.

« En janvier, nous avons détecté une activité suspecte sur notre réseau et sur la base des informations dont nous disposions à l’époque, nous avons pris ce que nous pensions être des mesures appropriées pour informer les clients concernés et réinitialiser les mots de passe pour un groupe particulier de comptes d’utilisateurs », a déclaré Bolton. . « Nous sommes actuellement en train de revérifier que tous les comptes concernés ont vu leur mot de passe réinitialisé et ont reçu une notification par e-mail. »

  Une capture d'écran expurgée montrant plusieurs des comptes d'utilisateurs volés.  Les mots de passe étaient stockés en texte brut.

Une capture d’écran expurgée montrant plusieurs des comptes d’utilisateurs volés. Les mots de passe étaient stockés en texte brut.

Je n’ai trouvé aucune trace publique – dans les médias ou ailleurs – concernant cette violation de janvier 2013. Quand j’ai dit à Bolton que tous les utilisateurs de Cupid Media que j’avais contactés ont confirmé leur mots de passe en texte brut comme indiqué dans le répertoire volé, il a suggéré que j’avais peut-être « accédé illégalement » à certains des comptes des membres de l’entreprise. Il a également noté qu' »une grande partie des enregistrements situés dans le tableau concerné concernaient des comptes anciens, inactifs ou supprimés ».

« Le nombre de membres actifs touchés par cet événement est considérablement inférieur aux 42 millions que vous avez cités précédemment », a déclaré Bolton.

De la société Site Internet et Fil Twitter affirment que Cupid Media compte plus de 30 millions de clients dans le monde. Malheureusement, de nombreuses entreprises ont l’habitude de stocker des données sur les clients qui ne sont plus actifs.

Alex Holdenresponsable de la sécurité de l’information chez Hold Security LLCa déclaré que la déclaration de Bolton rappelle la position du géant du logiciel Adobe Systems Inc. pris à la suite de sa violation récemment révélée. Dans ce cas, une base de données contenant les informations de messagerie et de mot de passe de plus de 150 millions de personnes a été volée et divulguée en ligne, mais Adobe affirme qu’il a jusqu’à présent jugé nécessaire d’alerter les 38 millions d’utilisateurs actifs dans la base de données divulguée.

« Adobe a déclaré qu’ils avaient 38 millions d’utilisateurs et qu’ils avaient perdu des informations sur 150 millions », a déclaré Holden. « Cela revient à la définition des utilisateurs par rapport aux individus qui ont confié leurs données à un service. »

34 millions d'utilisateurs de Cupid se sont inscrits avec une adresse Yahoo, Hotmail ou Gmail.  56 employés du département de la sécurité intérieure cherchaient aussi l'amour ici.

34 millions d’utilisateurs de Cupid se sont inscrits avec une adresse Yahoo, Hotmail ou Gmail. 56 employés du département de la sécurité intérieure cherchaient aussi l’amour ici.

Le danger d’une violation aussi importante est que beaucoup trop de personnes réutilisent les mêmes mots de passe sur plusieurs sites, ce qui signifie qu’un compromis comme celui-ci peut donner aux voleurs un accès instantané à des dizaines de milliers de boîtes de réception et à d’autres sites sensibles liés à l’adresse e-mail d’un utilisateur. En effet, Facebook a extrait les données Adobe divulguées pour obtenir des informations sur l’un de ses propres utilisateurs qui auraient pu réutiliser leur mot de passe Adobe et exposé par inadvertance leurs comptes Facebook au piratage à la suite de la violation.

Holden a ajouté que cette base de données serait une mine d’or pour les spammeurs, notant que les clients de Cupid sont probablement plus prêts que la plupart à être réactifs aux types de produits généralement annoncés dans les spams (pensez aux pilules d’amélioration pour hommes, aux services de rencontres et aux pilules amaigrissantes).

Bolton a adopté un ton plus doux dans la seconde moitié de son e-mail, indiquant que l’entreprise n’a peut-être pas compris toute l’étendue de l’intrusion.

« Puisque vous avez maintenant fourni des informations supplémentaires, nous avons maintenant une image plus claire de ce qui s’est passé en janvier », a écrit Bolton. « Nous sommes actuellement en train de revérifier que tous les comptes concernés ont vu leur mot de passe réinitialisé et ont reçu une notification par e-mail. »

Bolton a poursuivi :

À la suite des événements de janvier, nous avons embauché des consultants externes et mis en œuvre une série d’améliorations de la sécurité, notamment le hachage et le salage de nos mots de passe. Nous avons également mis en place la nécessité pour les consommateurs d’utiliser des mots de passe plus forts et apporté diverses autres améliorations.

Nous tenons à vous remercier d’avoir porté ce problème à notre attention et je peux confirmer que nous nous engageons à enquêter plus avant sur cette question et à apporter toute amélioration supplémentaire encore nécessaire. La protection de la vie privée et des données de nos clients est importante pour nous et nous continuerons à faire des investissements supplémentaires pour améliorer la sécurité de nos membres. Nous nous excusons sincèrement pour la gêne occasionnée à nos membres.

Il est tout à fait probable que les enregistrements que j’ai vus datent de la violation de janvier et que l’entreprise ne stocke plus les informations et les mots de passe de ses utilisateurs en texte brut. Au moins Cupid Media n’envoie pas votre mot de passe en clair lorsque vous demandez une réinitialisation de mot de passe, comme beaucoup trop d’autres entreprises le font. Il est également remarquable qu’une entreprise avec autant d’utilisateurs n’aurait pas vu cela venir. En février 2011, j’ai publié une histoire qui a reçu une attention médiatique considérable ; il s’agissait d’un piratage qui a révélé quelque 30 millions de dossiers de clients chez Plenty Of Fish (pof.com), un service de rencontres en ligne qui a également admis stocker les mots de passe de ses utilisateurs en clair.

Dans tous les cas, comme je n’avais pas à déchiffrer les mots de passe, j’ai pensé qu’il pourrait être utile de jeter un œil aux principaux mots de passe utilisés par les clients de Cupid Media. Il semble que de nombreux utilisateurs de Cupid n’accordent pas beaucoup d’importance à leurs comptes lors de la sélection des mots de passe, car un pourcentage énorme d’entre eux ont choisi des mots de passe carrément horribles. D’après mes calculs, plus de 10 % des utilisateurs de Cupid ont choisi l’un de ces 10 mots de passe :

cupidtop10

Les 10 meilleurs mots de passe non numériques sont probablement typiques d’un site de rencontre, mais néanmoins horribles :

Cupidon

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *