Le géant des rencontres en ligne eHarmony a commencé à exhorter de nombreux utilisateurs à changer leurs mots de passe, après avoir été alerté par BreachTrace.com d’une éventuelle violation de la sécurité des informations client. L’individu responsable de tout le chahut est un pirate informatique argentin qui a récemment revendiqué la responsabilité d’une violation similaire sur le site de rencontres en ligne concurrent PlentyOfFish.com.
A la fin de l’année dernière, Chris « Ch » Russoun soi-disant « chercheur en sécurité » de Buenos Aires, m’a dit qu’il avait découvert des vulnérabilités dans le réseau d’eHarmony qui lui permettaient de voir les mots de passe et d’autres informations sur des dizaines de milliers d’utilisateurs d’eHarmony.
Russo m’a d’abord alerté de ses découvertes fin décembre, juste après avoir dit qu’il avait commencé à contacter les administrateurs du site à propos de la faille. À l’époque, j’ai envoyé des messages à plusieurs des adresses e-mail administratives d’eHarmony dont Russo a déclaré avoir pu découvrir les mots de passe, bien que je n’aie reçu aucune réponse. Russo m’a dit peu de temps après qu’il avait heurté un mur de briques dans ses recherches, et j’ai laissé tomber l’affaire après cela.
Puis, il y a environ une semaine, j’ai entendu une source dans le milieu des hackers clandestins qui a fait la remarque suivante : « Vous savez qu’eHarmony a également été piraté, n’est-ce pas ? » J’ai rapidement vérifié plusieurs forums de fraude que je surveille, et j’ai rapidement trouvé une curieuse sollicitation d’un utilisateur à Carder.biz, un forum en ligne qui permet aux cyber-escrocs de s’engager dans une variété de transactions louches, allant de l’achat et de la vente de données et de comptes piratés à l’achat et/ou à la location de services criminels, tels que l’hébergement de botnets, les packs d’exploits, le vol de carte de crédit et l’identité du consommateur Les données. Le vendeur, utilisant le surnom de « fournisseur » et illustré dans la capture d’écran ci-dessous, prétendait avoir accès à « différentes parties du [eHarmony] infrastructure », y compris une base de données et des canaux de messagerie compromis. Le fournisseur offrait ces informations à des prix allant de 2 000 $ à 3 000 $.

Un hacker nommé « Provider » vend l’accès à des parties de eHarmony.com
Lorsque j’ai contacté Russo à propos de ce développement, il a d’abord dit qu’il n’avait jamais rien fait avec ses découvertes, bien que plus tard dans la conversation, il ait admis qu’il était possible qu’un de ses associés qui était également au courant des détails de la découverte ait agi de son propre chef. . À ce moment-là, j’ai contacté le siège social d’eHarmony et partagé une copie de la capture d’écran et des informations que j’avais obtenues de Russo.
Joseph Essasdirecteur de la technologie chez eHarmony, a déclaré que Russo avait trouvé un Vulnérabilité d’injection SQL dans l’une des bibliothèques tierces qu’eHarmony utilise pour la gestion de contenu sur le site de conseil de l’entreprise – advisor.eharmony.com. Essas a déclaré qu’il n’y avait aucun signe que les comptes de son principal site d’utilisateurs – eharmony.com – aient été affectés.
« Le vidage SQL contenait des noms d’écran, des adresses e-mail et des mots de passe hachés pour la connexion au compte sur le site Advice. Une fois que nous avons appris la nature de l’exploit, nous l’avons évidemment fermé sur la couche réseau et avons proposé au fournisseur tiers de l’aide pour corriger le logiciel, car nous n’avons pas accès à leur code source », a déclaré Essas. « Malgré ses rapports, nous n’avons trouvé aucune preuve suggérant que Russo a réussi à compromettre au niveau du réseau nos environnements de messagerie d’entreprise et de site eHarmony. »
Essas a déclaré que Russo avait approché eHarmony en proposant de vendre des services de sécurité pour aider l’entreprise à corriger les failles, ce qu’eHarmony a refusé.
« Les efforts frauduleux de Russo pour obtenir de l’argent de nous sont des plus inquiétants », a déclaré Essas. « En tant que tel, nous explorons également nos droits et recours légaux. »
Essas a ajouté qu' »en plus de continuer à évaluer la situation, nous prenons des mesures de précaution proactives », bien qu’il ait refusé de dire quelles pourraient être ces mesures. Cependant, mercredi soir, j’ai entendu une utilisatrice d’eHarmony dire qu’elle venait de recevoir un e-mail de la société l’invitant à changer son mot de passe.
Dans le même forum carder.biz, le pirate informatique se faisant appeler « Fournisseur » fait également la publicité de données provenant d’autres sites Web populaires, apparemment ceux que lui ou un associé a piratés. Par exemple, un article propose à « 1 500 000 noms d’utilisateur, mots de passe, e-mails américains et plus » prétendument tirés de la base de données du fournisseur de services aux petites entreprises diversitébusiness.com, pour 1 500 $. De plus, ce mécréant vend également l’accès à la base de données clients d’un magasin d’électronique en ligne pixmania.com et fournisseur de jeux informatiques eidos.com, pour des montants similaires. Ni diversitybusiness.com ni pixmania.com n’ont répondu aux demandes de commentaires. L’avocat général d’eidos.com, une division du Groupe Square Enixa déclaré que la société enquêtait sur la plainte mais a refusé de commenter davantage.