Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un site de rencontres expose une base de données avec des informations sur 1,5 million « d'infidèles »,
Les MdP étaient disponibles en texte clair

Le , par Stéphane le calme

23PARTAGES

10  0 
Un réseau de rencontres en ligne qui se décrit comme une destination pour trouver des partenaires pour des affaires extra-conjugales « discrètes », a divulgué des données personnelles de plus de 1,5 million de ses utilisateurs.

C & Z Tech Limited est une entreprise basée en Nouvelle-Zélande qui est propriétaire de ces sites de rencontres ainsi que des applications mobiles HaveaFling.mobi, HaveAnAffair.mobi et HookUpDating.mobi. L’ensemble de ces visiteurs se chiffre à 31 millions et 6,8 millions se sont connectés ces 90 derniers jours. Dans ce cas qui rappelle celui d’Ashley Madison, contrairement à ce dernier qui a été victime d’un piratage, l’entreprise a laissé exposée sa base de données, non sécurisée et accessible à tous.

C’est en tout cas ce qu’a indiqué le MacKeeper Security Research Center qui a rappelé que dans le cas d’Ashley Madison, des familles ont été détruites, ainsi que des mariages et dans certains cas des suicides ont été commis. « Connaissant le danger associé à une divulgation de ce type de données, il y a un besoin supplémentaire de protection des données et de sécurité », a souligné le centre de recherche.

Au total, une base de données contenant des informations sur 1,5 million de personnes a été exposée. Parmi ces données figurent des noms d’utilisateurs, des adresses mail, des mots de passe en texte clair, le sexe, la date de naissance, la photo de profil, les préférences, les habitudes de consommation et le pays d'origine.

Le centre a immédiatement alerté l’entreprise et a reçu un courriel de la part d’un certain Edward dans l’équipe Have An Affair : « merci de nous en avoir informé, la base de données MongoDB était en live seulement pendant quelques heures tandis que nous testions la migration des données de SQL à MongoDB, donc la plupart d'entre elles étaient seulement des données fictives avec des courriels et des mots de passe générés au hasard, il ne s’agissait en aucun cas d’une disponibilité en live de notre base de données. Nous avons fermé la base de données il y a environ une heure, et ne constatons aucune violation de données. Vous êtes les seuls à l’avoir détecté. Encore une fois, merci de nous l’avoir fait savoir et nous tâcherons de la sécuriser avant de la remettre en live à nouveau ».

Mais le centre n’est pas du tout convaincu par cette réponse. Bien qu’il reconnaisse que ce type de réponse est plutôt banal, le centre confie « vraiment douter » qu’il s’agisse d’une base de données test vu le type de fichiers exposés mais surtout le grand nombre de comptes. Et de rappeler que « notre équipe de sécurité a conservé une copie de cette base de données pour des besoins de vérifications ». D’ailleurs, certains médias en ont obtenu une copie et ont été en mesure de vérifier son authenticité puisqu’ils ont pu parler avec quelques personnes figurant dans cette base de données. Ces personnes ont indiqué avoir reçu un courriel de la part de l’entreprise qui leur demandait de changer leur mot de passe aussitôt que possible sans réellement leur expliquer pourquoi, se bornant à évoquer une « mise à jour du système pour des raisons de sécurité ».

Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on puisse parler de fuite de données ? »

en savoir plus sur Have an affair (iTunes)

Source : billet MacKeeper

Voir aussi :

Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison, qui fait appel à la fonction de hash bcrypt

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 06/10/2016 à 11:38
Citation Envoyé par hotcryx Voir le message
C'est bien fait pour leurs gueules, ils n'ont qu'à pas être infidèle
On vit dans un monde de débauches et de violence.
À vu de nez, c'est plutôt un monde d’intolérance
6  0 
Avatar de Iradrille
Expert confirmé https://www.developpez.com
Le 06/10/2016 à 5:21
Citation Envoyé par Stéphane le calme Voir le message
Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ? »
??

Soit les données sont protégées, soit elles le sont pas.
L'argument "les données ont été exposées; mais comme c'était seulement 10 minutes, ça compte pas." est totalement stupide.

J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime.
5  0 
Avatar de bclinton
Membre habitué https://www.developpez.com
Le 06/10/2016 à 9:07
Comment un pro peut-il stocker un mdp en clair dans une base de données ?

Là c'est carrément une faute professionnelle.
4  0 
Avatar de Vulcania
Membre éclairé https://www.developpez.com
Le 06/10/2016 à 9:26
Comme au dessus, je suis d'accord, les mdp en clair dans la bdd, c'est comme jouer à la roulette russe avec un automatique
4  0 
Avatar de Theta
Membre éclairé https://www.developpez.com
Le 06/10/2016 à 3:18
Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué
3  0 
Avatar de MagnusMoi
Membre confirmé https://www.developpez.com
Le 06/10/2016 à 8:46
Citation Envoyé par Iradrille Voir le message

J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime
Il y a peut être moyen que la cnil leur tombe dessus !


A mes yeux cette entreprise est une potentiel victime d'attaque (si des gens ont profité de la mise en live de cette base à des fins criminels), mais également, et surtout Coupable de négligence grave !
D'ailleurs selon le droits français, si tu te fais volé chez toi parce que tu as oublié un matin de fermer ta porte à clef ou une fenêtre, il arrive que l'état te poursuive pour incitation à commettre un délit !!! (arrivé dans mon entourage !)
Donc oui, au moins par justice envers ses clients, il faut condamner cette entreprise pour négligence coupable !

Parce que : se faire hacker sa base soit (et encore là c'est de la provocation ... )
Mais juste n'avoir aucune sécurité pendant un laps de temps, et stocker les mots de passe en claire !!!
Non mais WTF
Surtout que la majorité des gens comme madame Michu (no sexist offense dude), non alerte et conscient en matière de sécurité, utilisent le même mots de passe pour leur boites courriel et leur compte associés (skype, twitter, youp...tube )
Donc bonjour les dégâts pour ces gens !

Et à la question :

combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ?
La réponse est simple : 0 secondes.
Une tasse fuit quand il y a un trou dedans, que se soit la société/organisation possédant la tasse et le café qui épongent, ou de vilain pas gentils ou encore des gentils samaritain (no religious offense dude), une fuite ne se caractérise pas par qui éponge et à quelle vitesse.
3  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 06/10/2016 à 9:52
Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)
3  0 
Avatar de Chuck_Norris
Membre émérite https://www.developpez.com
Le 06/10/2016 à 11:49
Citation Envoyé par Freem Voir le message
Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)
Il y a pire : quand tu sais pertinemment que les mots de passe doivent être hachés en base de données pour des raisons évidentes de sécurité, mais que ton supérieur exige que la récupération du mot de passe donne exactement le mot de passe d'origine du Client, excluant de fait le hachage, ne laissant le choix que d'un stockage en clair ou d'un chiffrement réversible. C'est du vécu, sur un ancien boulot et je vois un psy depuis ce jour pour tenter de m'exorciser.
3  0 
Avatar de 23JFK
Membre expérimenté https://www.developpez.com
Le 06/10/2016 à 12:16
Citation Envoyé par Theta Voir le message
Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué
Soulager les serveurs, diminuer la facture d'électricité, diminuer les temps de connexions, économiser sur les certificats de sécurité tiers, les contrats de maintenances. Ces sites prétextent des services (douteux), mais leur vraie finalité est de faire du fric vite et facilement.
3  0 
Avatar de Jyhere
Candidat au Club https://www.developpez.com
Le 06/10/2016 à 9:59
En même temps quand on voit la gueule du site... On peut imaginer que le back a 15 ans de retard comme le front.
1  0