Vol de données: BeautifulPeople.com a rencontré son pirate charmant
Des données persos d’1,2 million de membres BeautifulPeople.com (site de rencontres) ont été volatilisées et sont commercialisées sur le blackmarket.
En matière de sécurité IT et d’exploitation des données, on peut toujours s’attendre à des (mauvaises) surprises avec les sites de rencontres.
Après l’affaire du piratage AshleyMadison.com qui a éclaté en 2015 aux Etats-Unis, voici celle de BeautifulPeople.com qui prend de l’ampleur.
Ce site de rencontres en ligne, d’origine danoise, avait été lancé en 2001 à partir d’un concept discriminant : seules les personnes correspondant aux profils « Plus beau que moi, tu meurs » sont admis. Il existe une pseudo-version française.
Mais BeautifulPeople.com a fait l’objet d’un piratage, se traduisant par une propagation de données personnelles en masse de ses membres sur le Web underground.
Des data (caractères physiques, job, orientations sexuelles, numéros de téléphones…) qui font désormais l’objet d’une commercialisation sur le blackmarket, selon l’expert en sécurité IT Troy Hunt qui collabore avec Microsoft.
On parle d’1,2 million de membres BeautifulPeople.com concernés par cet assaut.
Une première alerte avait été donnée en décembre 2015 par un autre chercheur du nom de Chris Vickery (qui travaille pour l’éditeur de solutions de sécurité IT MacKeeper).
A l’époque, BeautifulPeople.com avait clamé que ces données provenaient d’un serveur en test déconnecté dès l’alerte. Mais qu’importe. Les données personnelles propagées étaient authentiques.
Chris Vickery semble avoir trouvé la faille en lien avec l’exploitation de la base de données MongoDB. Il a repéré un souci similaire au Mexique (les données personnelles de plus de 90 millions d’électeurs ont été propagées)
Pour sa défense, la direction de BeautifulPeople.com apporte des précisions sur l’étendue des dégâts. « La brèche de sécurité IT concerne les données de membres inscrits avant juillet 2015. Les données des utilisateurs ayant rejoint Beautiful People ultérieurement ne sont pas affectés ».
Le million de clients concernés auraient été avertis des risques de sécurité IT par mail.
Régulièrement, les sites de rencontres se retrouvent sous les feux des projecteurs de l’actualité en raison des lacunes pour sécuriser leurs bases de données.
On se souvient d’ AshleyMadison.com (vol massif de données de 37 millions de membres) qui a défrayé la chronique l’an passé.
Forbes a également repéré le cas de Mate1 (« site Web interdit », me signale-t-on en tentant d’y accéder via Google).
Un site de rencontres qui a été attiré l’attention d’un pirate au point de voler les codes d’accès de 27 millions de membres. Mais il serait possible de reprendre possession de son compte, moyennant une rançon de 20 bitcoins (environ 8700 dollars). Gare au budget dating qui explose!