Posté le mai 21, 2020 à 16:30
40 MILLIONS DE DONNÉES SUR LES UTILISATEURS DE WISHBONE MIS EN VENTE SUR DARKNET
Un hacker a exposé les données de 40 millions d’utilisateurs de l’application Wishbone et les a mises en vente sur le Darknet. Wishbone est une application mobile populaire qui permet aux utilisateurs de faire des comparaisons entre deux articles par le biais d’un sondage de vote.
À partir de l’échantillon des données publiées et sur la base des déclarations du vendeur, les données de Wishbone comprennent des informations sur les utilisateurs comme leurs numéros de téléphone, leurs e-mails, leurs noms d’utilisateur, leur lieu de résidence, ainsi que des mots de passe hachés.
Le hacker a également déclaré que les mots de passe hachés sont au format SHA 1, mais un échantillon collecté par la société de recherche en sécurité ZNET aujourd’hui montre que les mots de passe sont au format MD5.
Le format MD5 est techniquement très facile à déchiffrer, ce que presque toute personne douée pour la technologie peut faire pour afficher les mots de passe originaux en texte clair. Les gens peuvent utiliser les outils de mots de passe disponibles gratuitement en ligne pour craquer ce mot de passe.
À l’heure actuelle, ZNET a déjà craqué ces mots de passe à l’aide de cet outil gratuit.
Les données contiennent d’autres informations importantes sur Wishbone
Selon le rapport, les données volées contiennent des liens vers la photo du profil Wishbone. Un autre fait est la révélation de photos de profil de certains mineurs, une catégorie qui a été très populaire dans l’application Wishbone. Les informations sur ces utilisateurs mineurs n’ont pas été prises vraisemblablement par de nombreux parents.
Le hacker affirme avoir volé les données de l’application Wishbone lors d’un piratage qui a eu lieu plus tôt dans l’année. Les dates de connexion et d’enregistrement des utilisateurs incluses dans l’échantillon de données piratées montrent que la déclaration pourrait être vraie, car tous les historiques remontent à janvier de cette année.
Les responsables des annonces du forum ont souligné que les annonces avaient été placées par un « courtier en données ». Les courtiers en données sont des cybercriminels dont la spécialité est d’acheter et de vendre des données piratées et volées dans la communauté darknet. Ils ne sont généralement pas impliqués dans le piratage de données mais servent d’intermédiaires entre les hackers et ceux qui s’intéressent aux informations volées.
Selon un rapport récent, les courtiers en données ont une longue liste de hackers qui sont leurs clients et sont prêts à mettre n’importe quelle donnée sur le marché cybercriminel, à condition qu’ils fassent des bénéfices. Actuellement, ils vendent plus de 1,5 milliard de données provenant de données volées à des dizaines d’autres entreprises.
Cependant, ce qui n’est pas clair, c’est si le vendeur des données qui a divulgué les informations à ces forums de piratage.
Wishbone a déjà été piraté
La majorité des données mises en vente ont été piratées au cours des années précédentes, et Wishbone a également été l’une des victimes de ces piratages. Lors d’un précédent piratage en 2017, 2,2 millions de comptes d’utilisateurs de Wishbone ont été piratés.
Mais d’après la vérification de ce récent piratage, les données du piratage de 2017 n’ont même pas été incluses dans les données publiées. Les emails des utilisateurs des données d’aujourd’hui ont été pris et vérifiés. Le résultat montre que les données du piratage de 2017 n’ont pas été incluses dans la présente violation.
Les données ont été vérifiées à l’aide de Have I Been Pwned, un site sécurisé qui permet aux personnes de savoir si leurs e-mails ont été inclus dans un piratage précédent.
Les emails ont également été vérifiés en utilisant une plateforme de sécurité privée connue sous le nom de KELA, une plateforme qui indexe et suit les données liées à des incidents de piratage plus anciens. Mais aucun des données du piratage de 2017 ne figurait sur la liste de contrôle.
L’utilisation de Wishbone peut être dangereuse
La nouvelle de la violation des données sur Wishbone ne surprendra peut-être pas beaucoup de monde, car la plateforme a déjà subi une violation similaire dans le passé.
Certains publicitaires inscrits au Digital Advertising Accountability Program (DAAP) ont récemment enquêté sur l’application. Selon leurs constatations, l’application Wishbone obtient des données de certains de ses utilisateurs par le biais de ses annonces promotionnelles. Le rapport sur les conclusions a révélé que Wishbone pourrait ne pas avoir utilisé une véritable méthode de publicité par l’intermédiaire de tiers. Selon le rapport, l’application recueillerait des données sur les utilisateurs mais ne demanderait pas leur consentement.
En défense de cette allégation, Wishbone a déclaré qu’elle avait des politiques élevées sur la sécurité des données des utilisateurs. Selon l’entreprise, « la protection des données est de la plus haute importance,… ».
Il a également déclaré que la société enquêtait actuellement sur la violation et que davantage d’informations seraient partagées en cas de nouvelles découvertes.