Si vous utilisez le compteur de calories MyFitnessPal ou la plate-forme de généalogie génétique MyHeritage, il va peut-être vous falloir changer de mot de passe. The Register révèle en effet qu’une très vaste base de données contenant des informations personnelles est en vente depuis la semaine dernière sur le Dark Web. Plus précisément, ce sont 617 millions de comptes provenant de 16 applications différentes qui ont été compromis. En voici la liste : outre MyFitnessPal et MyHeritage, on trouve aussi Dubsmash, ShareThis, HauteLook, Animoto, EyeEm, 8fit, Whitepages, Fotolog, 500px, Armor Games, BookMate, CoffeeMeetsBagel, Artsy et Datacamp.
Une partie des données a déjà été vendue
Les bases de données sont vendues séparément sur la plateforme de marché noir Dream Market. La somme réclamée avoisinerait les 20 000 dollars. Sont disponibles, la plupart du temps, le nom, l’adresse mail et l’empreinte des mots de passe des utilisateurs… mais pas d’informations bancaires. Il va falloir que les acheteurs réussissent à déchiffrer les mots de passe les plus faiblement protégés, notamment ceux qui ont été codés via la moulinette de l’obsolète MD5. Une fois ce sésame en poche, ils peuvent ensuite se connecter à d’autres comptes, comme ceux de Facebook ou Gmail, lorsque les utilisateurs ont utilisé les mêmes mots de passe. Le potentiel de nuisance est donc important.
On savait déjà que MyHeritage, MyFitnessPal et Animoto avaient été hackés entre 2017 et 2018 car ils en avaient informé leurs utilisateurs. Mais pas les autres acteurs concernés. L’auteur du délit affirme avoir simplement exploité des failles de sécurité sur les applications web de ces services. Une partie de ces données aurait déjà trouvé acquéreur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.