Dimanche 13 novembre, Leaked Source dévoile sa dernière révélation à propos du site AdultFriendFinder sur ce qu’il affirme comme étant « Le plus grand piratage de 2016 ». Le site spécialisé ZDNet vient appuyer l’affirmation en dénombrant pas moins de 412 millions de comptes compromis. En comparaison, celui dévoilé par Yahoo! sur le plus grand piratage de données de ces dernières décennies a été de l’ordre de 500 millions de comptes, et celui du site de rencontres extraconjugales Ashley Madison, 33 millions.
Selon les estimations, 339 millions proviendraient de ce site de rencontre. Les 73 millions restants seraient issus des autres sites du même groupe à savoir Cams.com et Penthouse.com. Étant donné que le lancement d’AdultFriendFinder date de 1996, ces données concernent donc tous les utilisateurs sur vingt ans. D’où probablement ce chiffre important et la possible existence de centaines de millions de faux-comptes. Ce qui n’est pas étonnant sur ce genre de site Internet. Et toujours d’après Leaked Source, 23,3 millions de comptes proviennent des sites francophones.
Le nom d’utilisateur, l’adresse e-mail, la date de la dernière visite et le mot de passe sont les principales données piratées. Or, les procédés de sécurisation sont différents : une partie par stockage des mots de passe en clair, une autre avec SHA 1, une technologie de hachage qui est connu comme étant peu fiable. Leaked Source affirme même avoir su décoder près de la totalité des mots de passe. Les informations volées montrent également les activités de l’utilisateur par rapport à des services payants proposés par ces sites.
Des comptes conservés malgré les suppressions
La base de données piratée ne renferme pas des informations sensibles comme les préférences sexuelles des utilisateurs. AdultFriendFinder a déjà été haché l’année dernière et les données concernaient près de 4 millions d’utilisateurs avec leur orientation sexuelle. Ce piratage a permis de révéler que le site préservait les comptes supprimés par leurs propriétaires.
Un an plus tard, AdultFriendFinder ne semble pas vouloir se débarrasser définitivement de ces comptes inutilisés. Leaked Source avance même que 15 millions de comptes ayant déjà été effacés, sont toujours disponibles dans la base de données de la plateforme.
Ce site à scandale est bien connu pour ses révélations de piratage comme celui de MySpace en mai ou de Tweeter en juin. Cela laisse des doutes, mais le site spécialisé ZDNet a confirmé avoir eu accès à des informations d’utilisateurs qu’ils ont contactés afin d’authentifier s’il s’agit bien des leurs.
Aucune confirmation d’AdultFriendFinder
Aucun démenti ni confirmation n’a émané du site. Toutefois, il a admis qu’une faille est bel et bien révélée et qu’elle a été corrigée, tout en apportant des précisions sur de potentielles vulnérabilités signalées par diverses sources. En même temps, l’entreprise rassure en prenant très au sérieux la sécurité de ses clients et que des informations additionnelles seront apportées au fil de son enquête.
Par ailleurs, Leaked Source a tenu à préciser qu’aucune possibilité ne permettait aux usagers d’Internet de faire une recherche dans la base de données, la nature même de ces informations étant sensibles.
La crédibilité de la plateforme vient, semble-t-il de prendre un énorme coup. On verra bien prochainement si elle pourra s’en relever.
