Peut-on seulement parler de piratage lorsque la fuite des données est due avant tout à une incroyable négligence des développeurs ? Révélés mercredi, les identifiants liés à YouPorn avec e-mail et mot de passe en clair ont pu fuiter parce qu'ils étaient visibles sur une URL dont l'accès n'était pas protégé.

Hier, nous révélions que des identifiants YouPorn avaient été publiés sous la forme d’une liste de plusieurs milliers d’adresses e-mails avec leur mot de passe de connexion. Nous ne savions pas en revanche comment cette base de données avait été piratée.

Depuis, YouPorn a apporté ses explications. Le site de vidéos pornographiques en lui-même n’a pas été hacké, a voulu rassurer la société sur son blog. C’est en fait le service de messagerie instantanée YP Chat, associé à YouPorn mais géré par une société externe – dont l’identité n’est pas communiquée, qui a été compromis.

« YP Chat est hébergé sur des serveurs qui ne sont pas ceux de YouPorn et un problème de sécurité sur lesdits serveurs ne crée en aucune façon un pont vers les données sécurisées de YouPorn« , assure Brad Black, le VP Operations du site. Il indique que le service a été désactivé dès que la faille a été connue. « Aucun des plus de 4,75 millions de comptes utilisateurs de YouPorn n’a été compromis« .

L’expert en sécurité Anders Nilsson de Eurosecure expliquait mercredi que ça n’est pas quelques milliers d’identifiants qui ont fuité, mais plus d’un million. « Les informations de bien plus d’un million d’utilisateurs étaient librement accessibles sur le site de chat de YouPorn jusqu’à ce que le serveur soit fermé hier« , écrit Nillson. « En regardant les données, il semble qu’un programmeur imprudent a accidentellement ( ? !) laissé des journaux de débogage sur une URL accessible publiquement dès novembre 2007, et que depuis ça stockait toutes les inscriptions« .

Le dossier /tmp où étaient stockés les fichiers de logs non chiffrés était en effet accessible par quiconque connaissait l’adresse ou la testait par hasard.

Cependant YouPorn assure que le nombre d’identifiants révélés ne se compterait pas en millions, mais bien en milliers, s’agissant d’un log des connexions à YP Chat et non d’un log des inscriptions.

Selon Anders Nilsson, « des hackers ont déjà commencé à parcourir les listes, en vérifiant quels utilisateurs avaient le même mot de passe pour leur e-mail ou sur Facebook, et ont publié des photos intimes trouvées dans les boîtes de reception/d’envoi de certains utilisateurs« .

Partager sur les réseaux sociaux

Articles liés