Developpez.com

Le Club des Développeurs et IT Pro

Un site de rencontres expose une base de données avec des informations sur 1,5 million « d'infidèles »,

Les MdP étaient disponibles en texte clair

Le 2016-10-05 19:29:31, par Stéphane le calme, Chroniqueur Actualités
Un réseau de rencontres en ligne qui se décrit comme une destination pour trouver des partenaires pour des affaires extra-conjugales « discrètes », a divulgué des données personnelles de plus de 1,5 million de ses utilisateurs.

C & Z Tech Limited est une entreprise basée en Nouvelle-Zélande qui est propriétaire de ces sites de rencontres ainsi que des applications mobiles HaveaFling.mobi, HaveAnAffair.mobi et HookUpDating.mobi. L’ensemble de ces visiteurs se chiffre à 31 millions et 6,8 millions se sont connectés ces 90 derniers jours. Dans ce cas qui rappelle celui d’Ashley Madison, contrairement à ce dernier qui a été victime d’un piratage, l’entreprise a laissé exposée sa base de données, non sécurisée et accessible à tous.

C’est en tout cas ce qu’a indiqué le MacKeeper Security Research Center qui a rappelé que dans le cas d’Ashley Madison, des familles ont été détruites, ainsi que des mariages et dans certains cas des suicides ont été commis. « Connaissant le danger associé à une divulgation de ce type de données, il y a un besoin supplémentaire de protection des données et de sécurité », a souligné le centre de recherche.

Au total, une base de données contenant des informations sur 1,5 million de personnes a été exposée. Parmi ces données figurent des noms d’utilisateurs, des adresses mail, des mots de passe en texte clair, le sexe, la date de naissance, la photo de profil, les préférences, les habitudes de consommation et le pays d'origine.

Le centre a immédiatement alerté l’entreprise et a reçu un courriel de la part d’un certain Edward dans l’équipe Have An Affair : « merci de nous en avoir informé, la base de données MongoDB était en live seulement pendant quelques heures tandis que nous testions la migration des données de SQL à MongoDB, donc la plupart d'entre elles étaient seulement des données fictives avec des courriels et des mots de passe générés au hasard, il ne s’agissait en aucun cas d’une disponibilité en live de notre base de données. Nous avons fermé la base de données il y a environ une heure, et ne constatons aucune violation de données. Vous êtes les seuls à l’avoir détecté. Encore une fois, merci de nous l’avoir fait savoir et nous tâcherons de la sécuriser avant de la remettre en live à nouveau ».

Mais le centre n’est pas du tout convaincu par cette réponse. Bien qu’il reconnaisse que ce type de réponse est plutôt banal, le centre confie « vraiment douter » qu’il s’agisse d’une base de données test vu le type de fichiers exposés mais surtout le grand nombre de comptes. Et de rappeler que « notre équipe de sécurité a conservé une copie de cette base de données pour des besoins de vérifications ». D’ailleurs, certains médias en ont obtenu une copie et ont été en mesure de vérifier son authenticité puisqu’ils ont pu parler avec quelques personnes figurant dans cette base de données. Ces personnes ont indiqué avoir reçu un courriel de la part de l’entreprise qui leur demandait de changer leur mot de passe aussitôt que possible sans réellement leur expliquer pourquoi, se bornant à évoquer une « mise à jour du système pour des raisons de sécurité ».

Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on puisse parler de fuite de données ? »

en savoir plus sur Have an affair (iTunes)

Source : billet MacKeeper

Voir aussi :

Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison, qui fait appel à la fonction de hash bcrypt
  Discussion forum
14 commentaires
  • Squisqui
    En attente de confirmation mail
    Envoyé par hotcryx
    C'est bien fait pour leurs gueules, ils n'ont qu'à pas être infidèle
    On vit dans un monde de débauches et de violence.
    À vu de nez, c'est plutôt un monde d’intolérance
    le 06/10/2016 à 11:38
  • Iradrille
    Expert confirmé
    Envoyé par Stéphane le calme
    Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ? »
    ??

    Soit les données sont protégées, soit elles le sont pas.
    L'argument "les données ont été exposées; mais comme c'était seulement 10 minutes, ça compte pas." est totalement stupide.

    J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime.
    le 06/10/2016 à 5:21
  • bclinton
    Membre habitué
    Comment un pro peut-il stocker un mdp en clair dans une base de données ?

    Là c'est carrément une faute professionnelle.
    le 06/10/2016 à 9:07
  • Vulcania
    Membre éclairé
    Comme au dessus, je suis d'accord, les mdp en clair dans la bdd, c'est comme jouer à la roulette russe avec un automatique
    le 06/10/2016 à 9:26
  • Theta
    Membre éclairé
    Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué
    le 06/10/2016 à 3:18
  • MagnusMoi
    Membre éclairé
    Envoyé par Iradrille

    J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime
    Il y a peut être moyen que la cnil leur tombe dessus !


    A mes yeux cette entreprise est une potentiel victime d'attaque (si des gens ont profité de la mise en live de cette base à des fins criminels), mais également, et surtout Coupable de négligence grave !
    D'ailleurs selon le droits français, si tu te fais volé chez toi parce que tu as oublié un matin de fermer ta porte à clef ou une fenêtre, il arrive que l'état te poursuive pour incitation à commettre un délit !!! (arrivé dans mon entourage !)
    Donc oui, au moins par justice envers ses clients, il faut condamner cette entreprise pour négligence coupable !

    Parce que : se faire hacker sa base soit (et encore là c'est de la provocation ... )
    Mais juste n'avoir aucune sécurité pendant un laps de temps, et stocker les mots de passe en claire !!!
    Non mais WTF
    Surtout que la majorité des gens comme madame Michu (no sexist offense dude), non alerte et conscient en matière de sécurité, utilisent le même mots de passe pour leur boites courriel et leur compte associés (skype, twitter, youp...tube )
    Donc bonjour les dégâts pour ces gens !

    Et à la question :

    combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ?
    La réponse est simple : 0 secondes.
    Une tasse fuit quand il y a un trou dedans, que se soit la société/organisation possédant la tasse et le café qui épongent, ou de vilain pas gentils ou encore des gentils samaritain (no religious offense dude), une fuite ne se caractérise pas par qui éponge et à quelle vitesse.
    le 06/10/2016 à 8:46
  • Freem
    Membre émérite
    Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
    Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)
    le 06/10/2016 à 9:52
  • Chuck_Norris
    Membre émérite
    Envoyé par Freem
    Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
    Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)
    Il y a pire : quand tu sais pertinemment que les mots de passe doivent être hachés en base de données pour des raisons évidentes de sécurité, mais que ton supérieur exige que la récupération du mot de passe donne exactement le mot de passe d'origine du Client, excluant de fait le hachage, ne laissant le choix que d'un stockage en clair ou d'un chiffrement réversible. C'est du vécu, sur un ancien boulot et je vois un psy depuis ce jour pour tenter de m'exorciser.
    le 06/10/2016 à 11:49
  • 23JFK
    Membre expert
    Envoyé par Theta
    Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué
    Soulager les serveurs, diminuer la facture d'électricité, diminuer les temps de connexions, économiser sur les certificats de sécurité tiers, les contrats de maintenances. Ces sites prétextent des services (douteux), mais leur vraie finalité est de faire du fric vite et facilement.
    le 06/10/2016 à 12:16
  • Jyhere
    Candidat au Club
    En même temps quand on voit la gueule du site... On peut imaginer que le back a 15 ans de retard comme le front.
    le 06/10/2016 à 9:59
  Poster une réponse