stripchat fuite données

Stripchat : fuite de données de 65 millions d’utilisateurs du site porno

À cause d’une mauvaise configuration du Cloud, une base de données contenant des informations sur des millions d’utilisateurs du site Stripchat a été exposée. Des données particulièrement sensibles, dont la fuite pourrait avoir des conséquences désastreuses pour les victimes…

Bien souvent, internet est perçu comme un lieu où chacun peut vivre ses fantasmes librement. Malheureusement, une fuite de données peut rapidement se révéler embarrassante.

Le site pornographique Stripchat, créé en 2016 et basé à Chypre, est la dernière victime de ce fléau. Dans le détail, cette plateforme vend des spectacles live de modèles dénudés.

Le 5 novembre 2021, le chercheur en sécurité Volodymyr “Bob” Diachenko de Comparitech a découvert une base de données sur un cluster Elacsticsearch. Cette base de données non protégée contenait des informations extrêmement sensibles sur les modèles et les utilisateurs de la plateforme.

Au total, la  » database  » abritait près de 200 millions d’enregistrements. Les données d’environ 65 millions d’utilisateurs incluent notamment les adresses email, adresses IP, sommes dépensées sur le site et date de création du compte et de connexion la plus récente.

En parallèle, une autre base de données contenait environ 421 000 enregistrements sur les modèles de la plateforme. Leurs noms d’utilisateur, genres, tarifs, listes de prestations et même leur  » strip score «  ont été exposés au grand jour.

Compte tenu de la nature très sensible de ces données, cette fuite pourrait poser un risque important pour les modèles et pour les utilisateurs. En cas de vol de ces données, les victimes risquent le harcèlement, l’humiliation, le stalking, le chantage, le hameçonnage et d’autres menaces à la fois en ligne et hors ligne.

Les informations sur les utilisateurs et sur les modèles pourraient être exploitées pour des campagnes de phishing ciblées. Ainsi, Diachenko appelle les victimes à se méfier des emails suspects de la part d’expéditeurs prétendant représenter Stripchat ou une entreprise associée. L’expert appelle à ne jamais cliquer sur des liens ou des pièces jointes d’email non sollicités.

Un risque de croisement des données

Le risque pour la confidentialité, aussi bien pour les utilisateurs que pour les modèles, est d’autant plus important si les informations sont croisées avec des données issues d’autres fuites. Cette approche peut permettre de dresser le profil complet d’une victime.

En effet, les données Stripchat révèlent généralement peu d’informations personnelles. Beaucoup d’utilisateurs de ce type de plateformes évitent d’utiliser leurs véritables identités et adresses email. Ils utilisent souvent des VPN pour cacher leur adresse IP réelle. Toutefois, le croisement des données peut permettre de retracer leur identité et de dévoiler leurs petits secrets.

Selon une étude publiée par GreatHorn à l’été 2021, les données intimes et compromettantes sont de plus en plus utilisées dans les campagnes de phishing ciblant les entreprises. En un an, les attaques d’ingénierie sociale utilisant des informations issues de sites pornographiques contre les employés ont augmenté de 974%.

Même si le matériel exploité n’est pas toujours explicite, l’objectif est uniquement de déstabiliser et d’effrayer la victime. Ceci permet de l’empêcher de prendre des décisions rationnelles.

C’est d’autant plus inquiétant que la pandémie a fait exploser la consommation de sites comme Stripchat. Le trafic de cette plateforme a augmenté de 72% en 2020…

Une énième fuite liée à la mauvaise configuration du Cloud

Contacté par Diachenko le 5 novembre 2021 via email et Twitter, Stripchat n’a pas immédiatement réagi. Les données ont néanmoins été sécurisées le 7 novembre. On ignore pour l’instant si des personnes malveillantes ont pu y accéder pendant ce laps de temps.

Aux yeux de l’expert, ce type de plateforme devrait adopter des pratiques de sécurité plus robustes. Elles devraient aussi mettre en place des protocoles de réaction aux incidents en cas de réception d’alertes en provenance de la communauté de la cybersécurité.

Le site Stripchat vient s’ajouter à la longue liste des fuites de données provoquées par des erreurs de configuration du Cloud. En 2021, VIP Games a par exemple exposé les données de 66 000 utilisateurs. Les sites de rencontre sont également nombreux à avoir subi cette mésaventure.

Même le secteur public n’est pas à l’abri de cette menace. À l’été 2021, Diachenko a découvert un cluster Elasticsearch contenant une liste de 1,9 million de données sur des terroristes.

Il est essentiel que les organisations exploitant le Cloud public prennent des mesures pour mieux protéger leurs données. Ces ressources doivent être surveillées en continu pour minimiser les risques d’exposition.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest