Les adresses e-mail et les mots de passe de 412 millions de personnes ont été divulgués après que le site AdultFriendFinder a été piraté.
Dans un vol de données, qualifié comme l’un des plus importants jamais survenus, il a été rapporté qu’environ 412 millions de comptes d’utilisateurs de la société spécialisée dans les rencontres en ligne pour adultes Friend Finder Network, basée en Californie, ont été compromis par des pirates. Le vol de données a été révélé par le site Web spécialisé LeakedSource, qui a expliqué dans un blog que le hack s’est produit au mois d’octobre.
Finder Finder Networks fournit plus de 18 services par l’intermédiaire d’un réseau de sites Web qui comprend notamment Adultfriendfinder.com, la plus grande communauté de rencontres en ligne pour adultes au monde. C’est aussi l’espace en ligne du célèbre PentHouse Magazine qui a été acquis par PentHouse Global Media. D’ailleurs, il est surprenant que Friend Finder dispose encore des données de Penthouse.
Sur les 412,214,295 comptes piratés, LeakedSource a détaillé les des domaines du réseaux et le nombre de comptes qui ont été touchés:
Adultfriendfinder.com – 339 774 493 comptes.
Cams.com – 62 668 630 comptes.
Penthouse.com – 7 176 877 comptes.
Stripshow.com – 1 115 731 comptes.
Domaines inconnus – 35 372 comptes.
Pour pirater tous ces comptes, les pirates ont profité d’une faille (Local File Inclusion) permettant l’exécution à distance d’un programme sur le serveur ciblé. C’est le deuxième plus important vol de données sur AdultFriendfinder, la première s’étant déroulé en mai 2015. Cependant, l’attaque précédente était plutôt petite car « seuls » 3,5 millions des comptes avaient été piratés. Le plus récent a également surpassé le piratage de données de MySpace qui avait compromis quelques 360 millions de comptes. En outre, ces données sont ce que Friend Finder a rassemblé en 20 ans d’existence.
LeakedSource note que la plupart des mots de passe des utilisateurs ont été stockés en texte brut ou haché en utilisant le SHA1, qui n’est pas une méthode de hachage cryptographique fiable. La base de données fuitée comprend également les détails de 15 766 727 comptes supprimés qui n’ont pas été supprimés de la base de données. Après avoir vérifié une partie de la base de données, ZDNet a signalé que les données divulguées ne contenaient pas d’informations comme les préférences sexuelles des utilisateurs. Friend Finder n’a pas confirmé l’attaque immédiatement mais a déclaré avoir eu écho d’une vulnérabilité de sécurité potentielle provenant de sources fiables.