Un réseau de rencontres en ligne qui se décrit comme une destination pour trouver des partenaires pour des affaires extra-conjugales « discrètes », a divulgué des données personnelles de plus de 1,5 million de ses utilisateurs.
C & Z Tech Limited est une entreprise basée en Nouvelle-Zélande qui est propriétaire de ces sites de rencontres ainsi que des applications mobiles HaveaFling.mobi, HaveAnAffair.mobi et HookUpDating.mobi. L’ensemble de ces visiteurs se chiffre à 31 millions et 6,8 millions se sont connectés ces 90 derniers jours. Dans ce cas qui rappelle celui d’Ashley Madison, contrairement à ce dernier qui a été victime d’un piratage, l’entreprise a laissé exposée sa base de données, non sécurisée et accessible à tous.
C’est en tout cas ce qu’a indiqué le MacKeeper Security Research Center qui a rappelé que dans le cas d’Ashley Madison, des familles ont été détruites, ainsi que des mariages et dans certains cas des suicides ont été commis. « Connaissant le danger associé à une divulgation de ce type de données, il y a un besoin supplémentaire de protection des données et de sécurité », a souligné le centre de recherche.
Au total, une base de données contenant des informations sur 1,5 million de personnes a été exposée. Parmi ces données figurent des noms d’utilisateurs, des adresses mail, des mots de passe en texte clair, le sexe, la date de naissance, la photo de profil, les préférences, les habitudes de consommation et le pays d'origine.
Le centre a immédiatement alerté l’entreprise et a reçu un courriel de la part d’un certain Edward dans l’équipe Have An Affair : « merci de nous en avoir informé, la base de données MongoDB était en live seulement pendant quelques heures tandis que nous testions la migration des données de SQL à MongoDB, donc la plupart d'entre elles étaient seulement des données fictives avec des courriels et des mots de passe générés au hasard, il ne s’agissait en aucun cas d’une disponibilité en live de notre base de données. Nous avons fermé la base de données il y a environ une heure, et ne constatons aucune violation de données. Vous êtes les seuls à l’avoir détecté. Encore une fois, merci de nous l’avoir fait savoir et nous tâcherons de la sécuriser avant de la remettre en live à nouveau ».
Mais le centre n’est pas du tout convaincu par cette réponse. Bien qu’il reconnaisse que ce type de réponse est plutôt banal, le centre confie « vraiment douter » qu’il s’agisse d’une base de données test vu le type de fichiers exposés mais surtout le grand nombre de comptes. Et de rappeler que « notre équipe de sécurité a conservé une copie de cette base de données pour des besoins de vérifications ». D’ailleurs, certains médias en ont obtenu une copie et ont été en mesure de vérifier son authenticité puisqu’ils ont pu parler avec quelques personnes figurant dans cette base de données. Ces personnes ont indiqué avoir reçu un courriel de la part de l’entreprise qui leur demandait de changer leur mot de passe aussitôt que possible sans réellement leur expliquer pourquoi, se bornant à évoquer une « mise à jour du système pour des raisons de sécurité ».
Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on puisse parler de fuite de données ? »
en savoir plus sur Have an affair (iTunes)
Source : billet MacKeeper
Voir aussi :
Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison, qui fait appel à la fonction de hash bcrypt
Un site de rencontres expose une base de données avec des informations sur 1,5 million « d'infidèles »,
Les MdP étaient disponibles en texte clair
Un site de rencontres expose une base de données avec des informations sur 1,5 million « d'infidèles »,
Les MdP étaient disponibles en texte clair
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !