Attaque de YouPorn : des milliers d'identifiants dans la nature

Protégez-vous, ici comme ailleurs 142
Vincent Hermann
Si vous êtes un utilisateur du site célèbre site porno YouPorn, sachez que vos identifiants sont peut-être partis faire une balade dans la nature. Une brèche dans la sécurité de l’un des services du site a permis une fuite d’informations, bien que cette dernière ait potentiellement été très exagérée jusqu’à présent.

youporn 

Le problème de sécurité ne réside pas dans le site central, mais dans le service de YP Chat associé. Mais comme l’explique la maison mère luxembourgeoise de YouPorn, Manwin (sic), YP Chat est édité par une société tierce. D’après l’analyse menée par Manwin, il apparaît que YP Chat n’aurait pas bénéficié de règles de sécurité solides aboutissant à la création de « logs non chiffrés laissés sur un serveur non sécurisé ». Et voici comment des milliers d’identifiants se sont retrouvés à découvert.

YouPorn possède plus de 4,75 millions de comptes mais ce sont ceux de YP Chat qui sont en fait en danger. L’utilisation régulière du service a provoqué l’apparition des noms des utilisateurs dans de multiples logs. Selon l’éditeur de solutions de sécurité Eset, le problème vient d’un code de débogage laissé « accidentellement » par un développeur et qui envoyait les informations d’authentification sur un serveur public.

6433 comptes ont vu leurs données sensibles révélées par un pirate qui a profité de l’aubaine en les postant sur Pastebin. Pour l’éditeur Sophos, le principal problème réside dans l’association des adresses email et des mots de passe : de nombreux utilisateurs ne veulent pas s’embêter à choisir des protections différentes en fonction des comptes. Résultat : le mot de passe a de fortes chances d’être identique pour le compte email lui-même.

Le problème de sécurité va plus loin que le simple compte mail. S’il s’agit du compte principal, la même association compte et mot de passe a pu être utilisée sur des sites tels qu’Amazon et Paypal, ce qui pourrait générer des achats, surtout via les systèmes très simplifiés de paiement. Attention donc si vous êtes concerné : veillez à faire le tour de vos mots de passe pour en générer de nouveaux qui ne soient pas simples à deviner.