Le réseau américain de services pour adultes a été piraté pour la deuxième fois depuis 2015. Cette fois-ci, les données personnelles de plus de 400 millions de comptes ont été mises en vente.

C’est le plus grand vol de données de l’année : 412 millions d’identifiants ont été dérobés au réseau américain de services pour adultes consentants, AdultFriendFinder, qui se présente comme la « plus grande communauté d’amateurs de sexe et de libertins au monde ». Un piratage qui rend presque dérisoire le précédent survenu contre le site de rencontres extraconjugales Ashley Madison (37 millions) et relativise encore celui opéré contre AdultFriendFinder l’année dernière.

20 années de données personnelles ont été dérobées

Selon LeakedSource, le site à l’origine de cette révélation, cette fuite concerne 6 bases de données reliées aux différents site du groupe, parmi lesquels Cams,com, Penthouse.com ou encore Stripshow.com, des noms de domaines qui illustrent la variété des services proposés par AdultFriendFinder. Au total, 20 années de données personnelle conservées par le réseau auraient été dérobées à la mi-octobre grâce à une faille LFI  — pour Local File Inclusion, une technique qui consiste à inclure un fichier local ou distant dans une ressource en ligne, notamment pour accéder au code source des fichiers privés qui y sont stockés.

Ces comptes sont depuis disponibles à la vente sur différentes plateformes spécialisées. AdulFriendFinder a répondu par email aux sollicitations de ZDNet sur le sujet : «  Au cours des dernières semaines, FriendFinder a reçu plusieurs rapports, de sources différentes, au sujet de failles de sécurité potentielles. Nous avons immédiatement examiné la situation […] et identifié puis corrigé une faille liée à l’accès au code. »

capture-decran-2016-11-14-a-15-39-39

Parmi les identifiants dérobés, 15 millions appartiennent à des comptes qui avaient été supprimés par les utilisateurs mais n’ont en réalité jamais été effacés du réseau. LeakedSource les distingue grâce à leur email atypique, en « @deleted1.com ». Le site relève aussi un faible nombre d’adresses email gouvernementales (5650), et le manque d’inspiration des mots de passe les plus répandus (« 123456 », « password »…)

Plus de 20 000 utilisateurs francophones seraient concernés

Un utilisateur Twitter avait déjà alerté publiquement AdultFriendFinder de cette faille le 18 octobre, mais son compte a depuis été supprimé et aucune communication officielle n’avait été faite sur le sujet. Le réseau avait déjà fait l’objet d’un piratage remarqué l’an dernier qui avait permis de dérober 4 millions de comptes aux informations personnelles pour le moins sensibles (préférences sexuelles, recherche d’adultère…). Cette fois-ci, d’après ZDNet, les données ne contiennent pas d’éléments aussi précis, mais les utilisateurs inquiets peuvent toujours vérifier s’ils sont concernés par ce piratage record : LeakedSource dénombre plus de 20 000 comptes en français parmi les 412 millions.

À lire sur Numerama : Piratage de masse  : Yahoo était au courant d’un problème dès 2014

Partager sur les réseaux sociaux

Articles liés