Le service d’alerte de violation de données Have I Been Pwned (HIP) avertit que Survey Lamar a subi une violation de données en février 2024, qui a exposé les données sensibles de 4,4 millions d’utilisateurs.
Survey Lama est une plateforme en ligne qui récompense les utilisateurs enregistrés pour avoir répondu à des sondages. Détenue par la société française Globe Media, la plate-forme est louée pour ses paiements élevés (jusqu’à 20$), ses paiements rapides et ses multiples options de retrait.
Début février, le créateur de HI Fps, Troy Hunt, a reçu des informations sur une violation de données affectant le service, qui impliquait divers types de données, notamment:
- Dates de naissance
- Adresses e-mail
- Adresses IP
- Noms Complets
- Mots de Passe
- Numéros de téléphone
- Adresses physiques
Hunt a déclaré à Breachtrace qu’il avait été informé de l’exposition par l’un des utilisateurs concernés et avait vérifié les données de manière indépendante.
Contacté par HIBP pour s’enquérir de l’authenticité des données, SurveyLama a déclaré qu’il avait déjà informé les utilisateurs concernés par e-mail, confirmant l’incident de sécurité.
L’ensemble de données contient des informations sur 4 426 879 comptes et a été ajouté à HIBP hier, de sorte que les utilisateurs concernés devraient déjà avoir reçu une notification par e-mail.
La plate-forme a déclaré que les mots de passe exposés étaient stockés sous forme de hachages salés SHA-1, bcrypt ou argon2, de sorte qu’ils ne sont pas en texte clair directement utilisable.
Bien que le hachage ajoute une certaine résistance au craquage, il n’est pas imperméable au forçage brutal, en particulier les mots de passe protégés par SHA-1 salé, qui comportent des vulnérabilités connues, ce qui le rend vulnérable aux attaques par collision.
Cela dit, les titulaires de compte SurveyLama doivent réinitialiser leurs mots de passe sur le service immédiatement et sur d’autres plateformes où ils pourraient utiliser les mêmes informations d’identification.
Hunt a déclaré à Breachtrace qu’il ne savait pas que les données compromises avaient été publiées publiquement, ce qui rend l’exposition actuellement limitée.
Cependant, si l’ensemble de données est tombé entre de mauvaises mains, il pourrait être exploité en privé puis éventuellement divulgué à la communauté de la cybercriminalité au sens large, de sorte que les utilisateurs doivent prendre des mesures de protection dès que possible.