Aptoide est, selon Android Police, la plus large boutique d’applications indépendante pour Android, avec 150 millions d’utilisateurs actuellement.

Malheureusement pour ces derniers, le service a été victime d’une large fuite de données, initialement rapportée par Under the Breach sur Twitter le 17 avril.

Le pirate indique avoir récupérer les informations de 39 millions de comptes, avec les détails de 20 millions publiés pour prouver ses dires. Il en garderait donc la moitié en réserve, mais on ne connait pas le degré de véracité de son annonce.

Les informations fournies sont en tout cas réelles et contiennent les adresses email, mots de passe hachés en SHA-1, noms, dates d’anniversaire, statuts de comptes, les adresses IP et l’user agent des victimes. Mais pas pour tous, car sur les 49 millions de comptes touchés, 32 millions ont été créés via Facebook et Google. Auxquels cas le mot de passe n’est pas présent dans la base.

Aptoide cherche actuellement à connaitre le point d’entrée du ou des pirates. Toutes les activités liées aux comptes sont suspendues : création, connexion, critique et commentaire. Quand les fonctions seront réactivées, il sera demandé aux utilisateurs de changer de mot de passe, une procédure classique dans ce genre de cas.

On espère en outre qu'Aptoide reverra à la hausse ses fonctions de hachage, car le SHA-1 n'est plus considéré comme sûr depuis longtemps.