Ghostshell a volé les informations de plus de 39 millions de comptes sur Internet,
les pirates disent protester contre les serveurs « mal configurés »
Des pirates ont réussi à s’emparer des données personnelles de plus de 39 millions de comptes sur la toile. Le groupe de hackers qui se fait appeler Ghostshell, déclare que cette action a été menée pour protester contre les serveurs « mal configurés». En effet, le groupe de pirates écrit dans un billet publié sur le site Pastebin, qui est souvent utilisé par les pirates pour publier des données qu’ils ont piratées, que le but est de sensibiliser sur les dangers encourus par un administrateur-système qui « décide de ne même pas créer des noms d’utilisateurs et mots de passe en tant que root, et qui ne vérifie pas les ports ouverts » sur ses serveurs. D’après eux, certains administrateurs-système ne prennent même pas la peine « de vérifier les ports ouverts sur leurs systèmes nouvellement configurés ». C’est pour cette raison que toute personne ayant un minimum de compétence dans le domaine de la sécurité peut facilement s’emparer des données sur de tels serveurs.
Le groupe Ghostshell a utilisé des outils permettant de scanner les ports d’un serveur Web tels que Shodan.io, un moteur de recherche pour des services orientés Internet, afin de localiser des bases de données, tournant sur un serveur ouvert au public hébergeant le système de gestion de bases de données MongoDB. Les pirates ont également pu accéder aux données d’un grand nombre de bases de données sur 110 serveurs Web différents, connectés à Internet, et qui ne nécessitent pas d’identifiants de connexion pour y accéder. Ils ont alors pu télécharger un volume donné des caches des différents serveurs. Au total 6 gigaoctets de fichiers non compressés ont ainsi pu être récupérés par les pirates sur ces serveurs « mal configurés ».
Les pirates tirent la sonnette d’alarme sur le fait que des serveurs mal configurés peuvent « permettre à quiconque d’infiltrer un réseau » et donc d’avoir « accès à la gestion interne des données ». La personne infiltrée pourrait ainsi, sans pour autant avoir des privilèges d’administrateur dans le système, avoir un accès total aux données. Elle pourra alors créer de nouvelles instances de bases de données, supprimer celles qui existaient, modifier les données, entre autres actions, préviennent les pirates.
La plupart des bases données attaquées par Ghostshell sont hébergées par des fournisseurs bien connus tels que Amazon Web Services ou encore Rackspace. Les pirates déclarent que même si les bases de données étaient différentes les unes des autres, ils ont été en mesure de retrouver les noms d’utilisateurs, les dates de naissance, les adresses mail, les numéros de téléphone, le sexe des utilisateurs, les informations concernant les moyens de paiement utilisés, les titres et les descriptions d’emploi et même les dates de mariage des différents utilisateurs. Ils ajoutent aussi avoir eu accès à du contenu provenant des médias sociaux tels que des identifiants de profils Facebook et Twitter, des photos de profils et les jetons utilisés pour identifier un utilisateur avec un service. Le contenu de certains messages envoyés par mail et qui ont été marqués « confidentiel » aurait aussi été découvert dans certains cas.
Au-delà des données des utilisateurs, Ghostshell a également récupéré un ensemble de métadonnées telles que des adresses IP, des informations sur les équipements, des données de géolocalisation, les types de navigateurs ainsi que les dates de création et de dernière connexion des utilisateurs. Bien que les mots de passe des utilisateurs aient été chiffrés, les pirates ont pu facilement déchiffrer certains d’entre eux à l’aide d’outils en ligne facile d’accès. Dans certains cas, les couples nom d’utilisateur/adresse électronique et mot de passe sont inscrits en texte clair, ce qui peut permettre à un pirate d’effectuer d’autres intrusions, souligne Ghostshell.
Source : Pastebin
Et vous ?
Que pensez-vous de cette action menée par Ghostshell ?
Voir aussi
le forum Sécurité
Partager