Des informations d’utilisateurs d’un site pornographique librement accessibles
Des informations d’utilisateurs d’un site pornographique librement accessibles
Des chercheurs en sécurité informatique ont découvert que le site Luscious n’avait pas protégé une base de données recensant plus d’un million de ses membres. Le nom de certains apparaissait dans leur adresse e-mail.
Dans ses conditions d’utilisation, le site Luscious assure à ses utilisateurs que leurs informations personnelles sont en sécurité, grâce à « différences mesures de sécurité », comme « le serveur sécurisé » sur lequel il repose. Pourtant, ce site pornographique a laissé exposée, sans protection aucune, une base de données contenant des informations sur ses membres, soit 1,2 million de personnes, a révélé lundi 19 août l’entreprise de sécurité informatique vpnMentor.
Luscious est un site spécialisé dans le « hentai », genre qui désigne généralement des dessins ou dessins animés pornographiques à l’esthétique manga. Les internautes qui le souhaitent peuvent s’y créer un compte, pour y publier des images, des vidéos, écrire des billets ou des commentaires.
Jeudi 15 août, des chercheurs en sécurité informatique de vpnMentor ont découvert qu’il était possible d’accéder à une base de données du site, laissée librement accessible en ligne, « ni sécurisée ni chiffrée », soulignent-ils. Elle contenait des informations sur chacun des utilisateurs enregistrés, à commencer par leur adresse e-mail. Or, certains utilisaient leur adresse personnelle, à leur vrai nom, pour se connecter au site.
Des dizaines de milliers d’adresses en « .fr »
Parmi les autres données accessibles : leur nom d’utilisateur, leur lieu de résidence, les images et vidéos qu’ils ont publié sur le site, mais aussi les commentaires et billets postés. « Certains de ces billets de blog étaient très personnels – certains contenus évoquaient la dépression ou d’autres vulnérabilités – et se voulaient anonymes », notent les chercheurs. Aucun mot de passe n’apparaissait toutefois dans le fichier.
vpnMentor précise avoir trouvé 13 000 adresses e-mail en « .fr », mais estime que « le nombre d’utilisateurs français est trois fois plus élévé : environ 40 000 ». Un calcul au doigt mouillé, qui prend en compte « le nombre de Français qui utilisent des services de mails comme gmail – qui se terminent en “.com” ».
L’entreprise dit aussi avoir trouvé « de nombreux » utilisateurs s’étant inscrits avec des adresses emails liés à des institutions gouvernementales brésiliennes, australiennes, italiennes, malaisiennes et australiennes.
Découvert le 15 août, le fichier n’est plus accessible depuis le 19 août. On ne sait pas depuis quand celui-ci était ainsi disponible en ligne. Ni si d’autres acteurs que vpnMentor ont mis la main dessus.
