Discussion :

[Stéphane le calme]

Un site de rencontres expose une base de données avec des informations sur 1,5 millions « d'infidèles »,
les mots de passe étaient disponibles en texte clair

Un réseau de rencontres en ligne qui se décrit comme une destination pour trouver des partenaires pour des affaires extra-conjugales « discrètes », a divulgué des données personnelles de plus de 1,5 million de ses utilisateurs.

C & Z Tech Limited est une entreprise basée en Nouvelle-Zélande qui est propriétaire de ces sites de rencontres ainsi que des applications mobiles HaveaFling.mobi, HaveAnAffair.mobi et HookUpDating.mobi. L’ensemble de ces visiteurs se chiffre à 31 millions et 6,8 millions se sont connectés ces 90 derniers jours. Dans ce cas qui rappelle celui d’Ashley Madison, contrairement à ce dernier qui a été victime d’un piratage, l’entreprise a laissé exposée sa base de données, non sécurisée et accessible à tous.

C’est en tout cas ce qu’a indiqué le MacKeeper Security Research Center qui a rappelé que dans le cas d’Ashley Madison, des familles ont été détruites, ainsi que des mariages et dans certains cas des suicides ont été commis. « Connaissant le danger associé à une divulgation de ce type de données, il y a un besoin supplémentaire de protection des données et de sécurité », a souligné le centre de recherche.

Au total, une base de données contenant des informations sur 1,5 million de personnes a été exposée. Parmi ces données figurent des noms d’utilisateurs, des adresses mail, des mots de passe en texte clair, le sexe, la date de naissance, la photo de profil, les préférences, les habitudes de consommation et le pays d'origine.

Le centre a immédiatement alerté l’entreprise et a reçu un courriel de la part d’un certain Edward dans l’équipe Have An Affair : « merci de nous en avoir informé, la base de données MongoDB était en live seulement pendant quelques heures tandis que nous testions la migration des données de SQL à MongoDB, donc la plupart d'entre elles étaient seulement des données fictives avec des courriels et des mots de passe générés au hasard, il ne s’agissait en aucun cas d’une disponibilité en live de notre base de données. Nous avons fermé la base de données il y a environ une heure, et ne constatons aucune violation de données. Vous êtes les seuls à l’avoir détecté. Encore une fois, merci de nous l’avoir fait savoir et nous tâcherons de la sécuriser avant de la remettre en live à nouveau ».

Mais le centre n’est pas du tout convaincu par cette réponse. Bien qu’il reconnaisse que ce type de réponse est plutôt banal, le centre confie « vraiment douter » qu’il s’agisse d’une base de données test vu le type de fichiers exposés mais surtout le grand nombre de comptes. Et de rappeler que « notre équipe de sécurité a conservé une copie de cette base de données pour des besoins de vérifications ». D’ailleurs, certains médias en ont obtenu une copie et ont été en mesure de vérifier son authenticité puisqu’ils ont pu parler avec quelques personnes figurant dans cette base de données. Ces personnes ont indiqué avoir reçu un courriel de la part de l’entreprise qui leur demandait de changer leur mot de passe aussitôt que possible sans réellement leur expliquer pourquoi, se bornant à évoquer une « mise à jour du système pour des raisons de sécurité ».

Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on puisse parler de fuite de données ? »

en savoir plus sur Have an affair (iTunes)

Source : billet MacKeeper

Voir aussi :

Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison, qui fait appel à la fonction de hash bcrypt

[Theta]

Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué

[Iradrille]

Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ? »

??

Soit les données sont protégées, soit elles le sont pas.
L'argument "les données ont été exposées; mais comme c'était seulement 10 minutes, ça compte pas." est totalement stupide.

J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime.

[MagnusMoi]

J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime

Il y a peut être moyen que la cnil leur tombe dessus !


A mes yeux cette entreprise est une potentiel victime d'attaque (si des gens ont profité de la mise en live de cette base à des fins criminels), mais également, et surtout Coupable de négligence grave !
D'ailleurs selon le droits français, si tu te fais volé chez toi parce que tu as oublié un matin de fermer ta porte à clef ou une fenêtre, il arrive que l'état te poursuive pour incitation à commettre un délit !!! (arrivé dans mon entourage !)
Donc oui, au moins par justice envers ses clients, il faut condamner cette entreprise pour négligence coupable !

Parce que : se faire hacker sa base soit (et encore là c'est de la provocation ... )
Mais juste n'avoir aucune sécurité pendant un laps de temps, et stocker les mots de passe en claire !!!
Non mais WTF
Surtout que la majorité des gens comme madame Michu (no sexist offense dude), non alerte et conscient en matière de sécurité, utilisent le même mots de passe pour leur boites courriel et leur compte associés (skype, twitter, youp...tube )
Donc bonjour les dégâts pour ces gens !

Et à la question :

combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ?

La réponse est simple : 0 secondes.
Une tasse fuit quand il y a un trou dedans, que se soit la société/organisation possédant la tasse et le café qui épongent, ou de vilain pas gentils ou encore des gentils samaritain (no religious offense dude), une fuite ne se caractérise pas par qui éponge et à quelle vitesse.

[bclinton]

Comment un pro peut-il stocker un mdp en clair dans une base de données ?

Là c'est carrément une faute professionnelle.

[Vulcania]

Comme au dessus, je suis d'accord, les mdp en clair dans la bdd, c'est comme jouer à la roulette russe avec un automatique

[Freem]

Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)

[Jyhere]

En même temps quand on voit la gueule du site... On peut imaginer que le back a 15 ans de retard comme le front.

[hotcryx]

C'est bien fait pour leurs gueules, ils n'ont qu'à pas être infidèle
On vit dans un monde de débauches et de violence.

[Squisqui]

C'est bien fait pour leurs gueules, ils n'ont qu'à pas être infidèle
On vit dans un monde de débauches et de violence.

À vu de nez, c'est plutôt un monde d’intolérance

[Chuck_Norris]

Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)

Il y a pire : quand tu sais pertinemment que les mots de passe doivent être hachés en base de données pour des raisons évidentes de sécurité, mais que ton supérieur exige que la récupération du mot de passe donne exactement le mot de passe d'origine du Client, excluant de fait le hachage, ne laissant le choix que d'un stockage en clair ou d'un chiffrement réversible. C'est du vécu, sur un ancien boulot et je vois un psy depuis ce jour pour tenter de m'exorciser.

[23JFK]

Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué

Soulager les serveurs, diminuer la facture d'électricité, diminuer les temps de connexions, économiser sur les certificats de sécurité tiers, les contrats de maintenances. Ces sites prétextent des services (douteux), mais leur vraie finalité est de faire du fric vite et facilement.

[athlon64]

Bonjour,

pour moi c'est tout simplement une méconnaissance du métier ou soit ils l'ont constaté mais qu'ils avaient pas les solutions techniques pour

corriger la faille. Ou encore ils ont sous traité lol, c'est en tout cas incroyable de voir ça...

Les Hôpitaux de Paris ont perdu 80 millions d'euros de factures suite à une migration vers un nouveau logiciel...
C'est peut être moins bête ? Un back up connait pas ? Il s'agit des millions là...

[Iradrille]

Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)

Perdu le pass pour gérer mon compte en ligne. Je passe à la banque : la madame fait 2/3 trucs sur son PC me tend un petit bout de papier avec "1234" marqué dessus, puis m'épelle le mot de passe à voix haute.
J'ai un peu gueulé, elle m'a laissé le redéfinir depuis son poste (puis rechangé chez moi, on sait pas se qui peut trainer sur son poste :o).

Honnêtement, je sais pas si c'est de la naïveté ou un manque (sérieux) de professionnalisme.

Il y a peut être moyen que la cnil leur tombe dessus !

(C'est un troll sur la CNIL ? Les conseils sont bons, même si 8 caractères c'est peu pour quelque chose de sérieux, et si on se rappelle de son pass grâce à une phrase, autant utiliser la phrase).

La CNIL a trop peu de pouvoirs et elle n'a pas les moyens d'imposer une sanction qui fera réfléchir tout le monde sur la sécurité.

[nicofromChina]

J'ai un entretien avec eux la semaine prochaine...

Si vous avez des idées de questions n'hésitez pas