![[MàJ] Fuite de données chez Adult FriendFinder : la recherche désactivée, l'enquête continue](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/1675.jpg "[MàJ] Fuite de données chez Adult FriendFinder : la recherche désactivée, l'enquête continue")
Selon Channel4, le site de rencontre Adult FriendFinder se serait fait dérober des informations personnelles de 3,9 millions de ses membres. De son côté, la société ne dément, prend quelques mesures et diligente une enquête sur la question.
Adult FriendFinder est un site de rencontre un peu particulier puisqu'il se définit comme étant « la plus grande communauté de rencontres, de plans et sexe ». Comme très souvent avec ce genre de site, il faut s'inscrire pour y accéder et donc donner des informations personnelles. Problème, certaines se sont apparemment retrouvées sur Internet.
Adult FriendFinder : des rencontres coquines au « dark web »
C'est le site Channel4 qui a découvert le pot aux roses en explorant le « dark web ». Ils expliquent que « leur enquête les a menés sur un forum secret dans lequel un pirate surnommé ROR [RG] a publié les détails des utilisateurs de Adult FriendFinder [...] Les informations de 3,9 millions de membres ont ainsi été divulguées, y compris de ceux qui avaient demandé au site de supprimer leurs comptes ». Si ce dernier point devait être confirmé, cela poserait de nombreuses questions sur la conservation des données par le site de rencontre.
FriendFinder Networks Inc, qui s'occupe notamment d'Adult FriendFinder, s'est fendu d'un communiqué officiel sur son site :
« FriendFinder Networks Inc. vient d'être informé d'un potentiel risque de sécurité des données, comprend et appréhende pleinement la gravité de la situation. Nous avons d'ores et déjà commencé à travailler en étroite collaboration avec la police et nous avons lancé une enquête approfondie avec l'aide de Mandiant (qui appartient à FireEye), une société spécialisée dans l'expertise scientifique.
Tant que l'enquête n'est pas terminée, il sera difficile de déterminer avec certitude l'étendue des dégâts, mais nous allons continuer à travailler avec vigilance afin de résoudre ce problème potentiel et nous fournirons des mises à jour dès que nous en apprendrons davantage.
Nous ne spéculerons pas sur cette question, mais rassurez-vous, nous nous engageons à prendre les mesures appropriées et nécessaires afin de protéger nos clients, s'ils devaient être touchés ».
Pour rappel, Mandiant s'était déjà penchée sur certaines fuites importantes de données, dont le très médiatique cas de Sony Pictures, mais aussi ceux des magasins Target et de la banque JP Morgan. Aucune information supplémentaire n'a par contre été dévoilée pour le moment.
Des données personnelles en fuite, mais pas d'informations bancaires et de mots de passe
Toujours selon nos confrères de Channel4, les données dérobées par les pirates contiendraient les noms, prénoms, dates de naissance, emails, ainsi que les préférences et orientations sexuelles de près de 4 millions de membres. De quoi lancer des campagnes de phishing, voire pire encore avec des tentatives de chantage étant donné le caractère très personnel des informations.
Un peu plus tard dans la journée, FriendFinder Networks Inc s'est fendu d'un second communiqué. La société annonce qu'elle « prend des mesures afin protéger ses membres, notamment en désactivant temporairement la fonction de recherche par nom d'utilisateur et en masquant les noms des utilisateurs dont nous pensons qu'ils sont concernés par ce problème de sécurité ». Il n'est par contre pas précisé si le moteur de recherche était une des causes de cette importante fuite de données personnelles.
Il est toujours possible de se connecter sur le site de rencontre. « Nous sommes également en train de communiquer directement avec nos membres sur la façon de mettre à jour leur identifiant et mot de passe », un point étrange si aucun mot de passe n'a été dérobé. Elle se veut par contre rassurante en ajoutant : « il est important de noter que, à ce moment précis, il n'y a aucune preuve indiquant que des informations financières ou des mots de passe ont été compromis ». L'enquête suit est toujours en cours et nous n'en saurons pas plus pour le moment.
Commentaires (90)
#1
S’ils peuvent lier les infos personnelles avec les photos/vidéos pornos que tout le monde poste là-bas* y a de quoi organiser une campagne de chantage complètement démente en effet.
" /> )
( * = c’est le pote d’un cousin de mon beau-frère qui me l’a dit…
#2
“y compris de ceux qui avaient demandé au site de supprimer leurs comptes”
C’est le point a relever. Comme quoi les demandes de suppression servent a rien. Vu que c’est laissé au bon vouloir des sites.
C’est probablement plus propre en france, via la CNIL, mais pour tous les sites étranger, il y a 0 garantie.
#3
“Nous ne spéculerons pas sur cette question, mais rassurez-vous, nous nous engageons à prendre les mesures appropriées et nécessaires afin protéger nos clients, s’ils devaient être touchés.”
Chérie, ne soit pas étonnée si tu apprends prochainement combien j’aime les poneys.
#4
#5
De quoi lancer des campagnes de phishing, voire pire encore avec des tentatives de chantage étant donné le caractère très personnel des informations.
C’est marrant ça me rappelle la pub de je sais plus quelle bagnole où la nana célibataire montrait son appli de rencontre et qu’elle tombe sur le mec du couple d’amis en face d’elle dans les “célibataires à portée”.
#6
Je ne crains puisque tu te trompes complètement.
" />
…en effet je vérifie toujours que les hamsters soient majeurs !
#7
AFF, c’est pas le site qui affiche la liste et la photo de toutes les filles à la vertus non reconnue qui sont dans les 500 mètres autour de l’adresse de mon FAI et tiennent absolument à coucher avec moi ce soir alors que je suis occupé à chercher une iso de ma distribution linux préférée en torrent ?
#8
Une fuite qui peut faire mal
" />
“ y compris de ceux qui avaient demandé au site de supprimer leurs comptes “ !?:!ù$, ils ont osés !
#9
Il y a tant de vidéos et de photos que ça?
" />
Excellent, j’adore cette mode de se prendre en photo/vidéo n’importe où et n’importe comment et de les laisser à disposition sur des sites dont la sécurité est “garantie”.
En tout cas, si les petits gars arrivent à faire le lien entre compte (et donc nom, prénom, etc.) et présence sur phots/vidéos, quelques un vont se faire parmi.
A voir aussi la faille exploitée pour l’introduction des membres du groupe sur les zones sensibles des hôtes.
#10
j’espère que FunnyD s’est pas fait piqué ses données compromettantes.
" />
#11
Les utilisateurs de se site sont-ils des buveurs de café :
" />
Cafe
#12
#13
#14
C’est marrant parce qu’à chaque fois j’imagine le PRA qui est mis en place … et la facture présenté à la victime; pour imager, pour ce qui ne bossent pas dans la sécurité informatique ,remémorez-vous la scène dans le “grand bleu” au début du film quand Enzo et son frangin “négocient” les tarifs pour sauver la peau du type bloqué dans l’épave échouée au pieds de la falaise.
Et bien sure … les liens entre l’assaillant et le cabinet d’audit mandaté par la victime pour éteindre le feu : juste risible au plus haut point.
Des questions pour NXI :
#15
#16
#17
Pas besoin de ça pour faire du social-engineering ;) Mais ça facilitera le travail c’est sur.
#18
#19
Je ne me considère pas comme un débutant mais je ne connais pas le “Social-engineering”.
Va falloir que je fasse quelques recherches. Mais ceci dit, ça à l’air intéressant comme concept si ça s’applique à ce domaine.
#20
Ils vont dechanter les pirates lorsqu’ils comprendront que la plupart des comptes sont des fake !
#21
…Adult FriendFinder se serait fait dérober des informations personnelles…
Intéressant, cette formulation, juste après la news sur l’affaire Bluetouff et le débat sur le “vol de données numériques”
Les données n’ont pas été volées au sens juridique, car cela supposerai qu’il y ait eu soustraction, mais l’autre news semble indiquer que si, selon une interprétation assez douteuse… Et pourtant cela peut effectivement porter préjudice aux personnes concernées.
Vaste question…
#22
#23
Pour faire très simple le social-engineering c’est quand tu met en relation toutes les informations d’une personne afin de trouver un mot de passe ou une question secrète.
Certaine personne l’utilise également pour retrouver du contenu.
Sur 4chan pas mal de personne se sont faite avoir comme ça. Parce que le forum est complétement anonyme mais grâce au photo il est plus ou moins facile de retrouver ta trace.
#24
Bon, à part que c’est un site de rencontre un peu plus direct dans son but que meetic, il y a vraiment quelque chose dessus ?
#25
Fallais lire la news en entier :p
Grosso il y as vole de données si il y as eut soustraction de données.
et la soustraction « est caractérisée par le fait de se comporter sur la chose comme son propriétaire en se l’appropriant contre le gré de celui qui la possède. C’est très exactement ainsi que se comporte celui qui copie frauduleusement des données informatiques. Il n’importe que la victime ne soit pas dépossédée de ces données de même qu’il n’importe, en cas de photocopie frauduleuse d’un document, que l’original reste entre les mains de son propriétaire. L’‘extraction’ est en réalité une forme de ‘soustraction’»
edit: pour completer, la phrase “télécharger n’es pas voler” c’est seulement en cas de PI ( musique film etc). C’est pas du vol mais de la contrefaçon ^^
#26
Rencontres avec les bot
" />
#27
#28
J’ai lu la news en entier, c’est bien pour ça que je dis que c’est issu d’une interprétation douteuse, car le droit pénal est censé être d’interprétation stricte.
C’est bien là qu’est le problème : la question de “vol numérique” devrait être inclue dans la loi, de façon à ne pas déprendre d’une interprétation, qui peut changer du tout au tout selon qui l’interprète.
#29
#30
#31
il y avais un manque , mais plus depuis Novembre 2014, comme dit dans l’article 
" />
" />
#32
on prévoit une explosion du chiffre d’affaire des avocats spécialisés dans le divorce pour 2015 du coup ?
#33
#34
#35
#36
#37
Nous ne spéculerons pas sur cette question, mais rassurez-vous, nous nous engageons à prendre les mesures appropriées et nécessaires afin de protéger nos clients, s’ils devaient être touchés
Donc ils vont distribuer des capotes c’est ça ?
#38
#39
#40
#41
Sympa le nom de la news dans l’onglet quand ton chef s’assoie à côté de toi pour que tu lui explique un truc
" />
#42
Pareil, j’ai l’impression que le proxy a longtemps tardé avant de laisser le browser afficher la page xD
#43
Peut être qu’il a son nom dans la liste.
#44
Euh, pas tellement d’accord avec ta difinition.
Le social-engineering, c’est l’exploitation des failles humaines pour pénétrer un système.
Par exemple de pousser la victime à te donner elle-même ses identifiants, typiquement en se faisant passer pour un service informatique, la police ou une autorité quelconque.
#45
#46
#47
#48
Oui aussi mais le résultat est le même c’est se faire passer pour la personne afin de pouvoir entrer dans un processus ou tu dois être identifié.
#49
#50
#51
#52
#53
#54
Ohhh crap :(
#55
#56
#57
#58
#59
“d’un potentiel risque de sécurité des données, comprend et appréhende pleinement la gravité de la situation. ”
Quand tes enregistrements ont partagés sur des forums, je crois que risque n’est plus l’expression à employer. Et potentiel, encore moins.
#60
#61
#62
#63
#64
#65
Combien on parie que les personnes ayant aspirées ces données vont rançonner les propriétaires des comptes inclus dans cette liste ? Ce serait marrant de voir combien ils seraient prêts à balancer pour que leurs femmes ne sachent rien…
" />
#66
#67
#68
#69
#70
Ah c’est donc toi “Pince Albert du 69” sur le site
" />
#71
#72
#73
Mais pas les photos
" />
#74
#75
#76
ha, toi aussi tu as récupéré le fichier.
" />
#77
#78
#79
Pas qu’un peu
" />
#80
Ha ha ha…
Sur 3,9 millions de comptes, combien de fakes générés par des bots?
Et combien d’avatars pseudo féminin générés par le site?
#81
Non, les nxiens se fendent la poire sur le nouveau défi ayant lieu sur les réseaux sociaux : boobs et coca
#82
#83
#84
On en parle du fait que sur cette liste, ya un ratio homme/femme de 16⁄1 ?
#85
#86
Parce que y’a de vraies femmes sur ce genre de “site de rencontre” ?
- Soit ce sont des profils crées pour “appâter” par le site. (Oh oui mec, balance le pognon et tu sera sûr de pouvoir niquer ce soir)
- Soit ce sont des robots crées pour faire de la pubs genre “hum viens voir mes photos à pwal sur http:\grossearnaqueonntabieneuducon.com”.
- Soit ce sont des mecs d’Afrique centrale/de l’Ouest qui vont de faire chanter pour que tu leur donne du pognon via Western Union
#87
#88
Oui bon, j’ai peut-être été un peu virulent dans ma critique mais je part du principe que ces site de “rencontres sont des arnaques géantes. Je suis un homme et je sais comment fonctionnent les hommes. Du fait de leur fonctionnement -nous sommes esclaves de notre sexe-, les femmes n’ont pas besoin d’aller sur ce genre de sites pour trouver des aventures (Car de ce que j’ai compris, l’amour véritable n’est la ligne directrice que de très peu de ces sites).
Tu me dira peut-être “C’est vrai mais les femmes qui sont, sans être méchant, hors des critères de beauté actuels, elles en ont besoin”. Eh bien non. Du fait du déséquilibre massif en faveur de la demande, une femme, même considérée comme “moche” arrivera à coucher, ça lui prendra statistiquement plus de temps, certes, mais elle y arrivera. A l’inverse, du fait de ce même déséquilibre, un homme considéré comme “moche” à une chance infime de se trouver une aventure, car même une femme moche préférera se trouver un mec beau (il suffit qu’il soit assez en manque)
/My-2-cents
#89