Fuite de données privées CAM4: des millions d'utilisateurs exposés

Le monde en ligne est une fois de plus entaché par une fuite de données très sensibles qui expose des millions d’utilisateurs à des tentatives de chantage, de vol d’identité et de fraude.
 
Une équipe de chercheurs en sécurité dirigée par Anurag Sen a récemment découvert la fuite d’une base de données issues de CAM4, un célèbre site Web pour adultes qui permet aux membres de se montrer et aux utilisateurs de regarder des vidéos explicites en direct, sur la base d’un paiement par jetons. Hébergée sur un serveur Elasticsearch mal configuré, la base de données non sécurisée expose environ 7 To d’informations personnelles des utilisateurs et des membres de la plateforme.
 
Dans les 10 milliards d’enregistrements, les analystes ont découvert de nombreuses données d’information sur les utilisateurs de CAM4, y compris :
 
• Nom et Prénom
• Adresses mail et mots de passe chiffrés
• Pays d’origine et date d’inscription
• Préférence de genre et orientation sexuelle
• Informations sur l’appareil connecté
• Divers détails sur l’utilisateur tels que la langue parlée
• Noms d’utilisateur et conversations
• Historique de paiement, y compris le type de carte de crédit, le montant payé et la devise applicable
• Transcriptions des messages privés échangés
• Conversations inter-utilisateurs
• Transcriptions de chat entre les utilisateurs et CAM4
• Informations sur les jetons
• Adresses IP
• Journaux de détection de spam
 
Après avoir rassemblé ces données personnelles, l’équipe a pu identifier 11 millions d’enregistrements contenant des e-mails, 26,3 millions contenant des chiffrements de mots de passe et moins de 1000 révélant des noms complets, des types de cartes de crédit et des montants payés pour afficher du contenu explicite sur le site Web.

“Les utilisateurs américains, brésiliens et italiens ont été les plus touchés, bien que le nombre précis d’enregistrements d’e-mails soit difficile à évaluer avec précision en raison de la duplication de plusieurs entrées”, ont déclaré les chercheurs.

“Le fait qu’une grande quantité de contenu de courrier électronique provienne de domaines populaires tels que Gmail, Hotmail et iCloud – des domaines qui offrent des services supplémentaires tels que le stockage dans le cloud et divers outils commerciaux – signifie que les utilisateurs de CAM4 compromis pourraient potentiellement voir d’énormes volumes de données personnelles, y compris des photos, vidéos et informations commerciales connexes, divulgués à des pirates – en supposant que leurs comptes ont finalement été piratés via le phishing par exemple “, ont-ils ajouté plus tard.

Bien que la base de données ait été immédiatement supprimée par la maison mère Granity Entertainment, les journaux volés remontent au 16 mars et les cybercriminels auraient déjà pu utiliser les informations.
 
Souvenons-nous du scandale de la fuite de données du site de rencontre Ashley Madison – les victimes sont toujours la cible de chantage et de campagnes de sextorsion 5 ans après l’incident.
 
Compte tenu de la nature sensible des informations exposées, la récente fuite de données pourraient avoir de graves conséquences, rendant les membres de CAM4 vulnérables aux attaques ciblées et aux e-mails de phishing. En plus des pertes financières qui peuvent survenir, les victimes pourraient souffrir de pressions psychologiques très dommageables, à la suite de multiples tentatives de chantage ou de diffamation.