MySpace n’a pas pris les précautions nécessaires pour protéger les mots de passe de ses utilisateurs.
Ce constat est l’œuvre de LeakedSource.
Le moteur spécialisé dans l’indexation des jeux de données piratés dit avoir obtenu, de la part d’un utilisateur inscrit sous l’alias Tessa88@exploit.im, des informations associées à plus de 360 millions de comptes ouverts sur le réseau social.
À près d’un tiers de ces comptes sont liés des noms d’utilisateurs, en plus des adresses e-mail. Et dans environ 20 % des cas, deux mots de passe ont été exfiltrés.
Difficile de ne pas établir un parallèle avec le hack subi en 2012 par LinkedIn… et récemment revenu sur le devant de la scène, avec un bilan nettement revu à la hausse (167 millions de comptes touchés en l’occurrence).
Dans les deux cas, la protection des données est largement insuffisante, tout du moins au vu des standards actuels. Ainsi les mots de passe sont-ils chiffrés avec l’algorithme SHA1, aujourd’hui considéré comme obsolète. Comme pour le cas LinkedIn, on relèvera l’absence de salage, en d’autres termes l’ajout de chiffres aléatoires à la fin des hashs.
Pas beaucoup plus d’efforts du côté des utilisateurs : seuls quelques milliers de mots de passe font plus de 10 caractères et presque aucun ne contient de majuscule(s). Un grand nombre se terminent par un « 1 », laissant suggérer que MySpace a, pendant un temps, exigé au moins un caractère numérique.
Bilan : la liste est dominée non pas par « password », mais par « password1», que l’on retrouve plus de 585 000 fois. Suivent « abc123 » (569 000), « 123456 » (487 000) et « myspace1 » (276 000).
Reflet d’une audience localisée essentiellement en Amérique du Nord depuis les débuts du service lancé en 2003, plus de 126 millions d’adresses e-mail sont en @yahoo.com. On en recense environ 79 millions en @hotmail.com et 25 millions en @gmail.com. La première extension .fr se trouve en 13e position, avec Hotmail (2,335 millions de comptes).
Dans l’absolu, le piratage est d’une importance moindre par rapport à celui subi par LinkedIn : selon les statistiques de SimilarWeb, MySpace – dont la dernière refonte majeure remonte à juin 2013 – a enregistré à peine 15 millions de visites au mois d’avril. Sauf que nombre d’internautes ont tendance à utiliser le même mot de passe sur plusieurs services…
Crédit photo : VTT Studio – Shutterstock.com
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…
Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…