Nous avons parlé la semaine dernière d’un hacker qui vend 617 millions de comptes volés sur 16 sites web, provenant de fuites anciennes et nouvelles. Cette fois, le même hacker a mis en vente 220 millions de références supplémentaires, obtenues auprès de services comme Legends.tv, Ge.tt, Gfycat, Coinmama et YouNow. Dans certains cas, cela inclut les mots de passe en texte clair et les adresses électroniques.
Ces identifiants sont vendus à dark web pour un compte appelé “Gnosticplayers”. Dans une interview accordée à ZDNet, le responsable affirme qu’il a piraté les sites web en question et qu’il n’est pas un simple intermédiaire.
Tout comme avant, le pirate vend des données qui se sont échappées il y a un certain temps. C’est le cas de Legendas.tv : la base de données contient 3,86 millions de références obtenues en 2017, dont le nom d’utilisateur, le mot de passe en clair, l’adresse électronique et l’adresse IP.
Subtitles.tv propose des sous-titres pour les séries et les films, et exige que l’utilisateur soit connecté pour les télécharger. Toutefois, le site n’utilise pas le HTTPS, même pas sur la page de connexion et d’enregistrement. Cela signifie que les informations d’identification sont transmises sans cryptage.
Il y a également quelques fuites récentes dans la liste : les références d’Ixigo (comparaison des vols et des hôtels) et de Roll20.net (jeux de société virtuels) sont datées de janvier 2019. La liste complète des services ayant fait l’objet d’une fuite figure à la fin du courrier.
Au total, il existe 16 bases de données avec des fuites d’informations qui sont en vente dans le Dream Market, le marché du web noir, pour des valeurs comprises entre 220 et 11 000 euros. Au total, ils coûtent environ 25 000 euros.
Certains services avertissent leurs utilisateurs de la fuite et leur recommandent de changer le mot de passe, comme Roll20.net et Coinmama(cryptomedas purchase). D’autres ont ouvert une enquête sur cette affaire, notamment Gfycat (recherche de GIF) et ClassPass (cours de gym). En attendant, certains sites ne se sont pas encore prononcés, comme Subtitles.tv et Ge.tt (partage de fichiers).
Sommaire
Un hacker veut “l’argent et la chute des porcs américains”.
Gnosticplayers dit qu’il prévoit de vendre plus d’un milliard d’accréditations divulguées et de disparaître avec l’argent. Il va vendre de nouvelles bases de données, notamment celles d’une maison d’échange de cryptomimes. “Mes deux principaux objectifs sont l’argent et la chute des porcs américains”, a-t-il déclaré à ZDNet.
De nombreux sites envahis utilisent le même logiciel de base de données, appelé PostgreSQL. Le chercheur en sécurité Ariel Ainhoren explique à TechCrunch que le pirate a pu utiliser la même faille de sécurité pour les attaquer, rassembler les données dans un fichier et les télécharger.
Jonathan Katz, qui collabore au projet open source PostgreSQL, déclare : “Nous n’avons actuellement connaissance d’aucune vulnérabilité, corrigée ou non, qui aurait pu être à l’origine de ces fuites.
16 services ont été touchés par des fuites
Voici les 16 services concernés, par ordre alphabétique :
Le premier lot de données divulguées, avec 617 millions de comptes, comprenait des données provenant de 16 autres services. Certaines de ces fuites sont anciennes : c’est le cas de MyFitnessPal, qui s’est produit en 2017. Mais d’autres sont récentes, comme 500px, EyeEm et Fotolog.
