2 millions d’abonnés au site MYM dans les mains d’un pirate ?

Un pirate informatique commercialise pour moins de 2.500 dollars ce qui semble être la base de données du site communautaire MYM. Deux millions de personnes seraient concernées.

Article mis à jour – 15h00

La vente de données volées n’a jamais connu un tel essor dans le monde des pirates informatiques. Depuis plus de trente ans que j’analyse les malveillants sur différents supports numériques/informatiques, les données exfiltrées lors de piratage étaient vendues sous le manteau, sans trop de bruit.

Les montants variaient de 0 dollars à plusieurs milliers d’euros.

Tout dépendait du contenu et de la cible.

Aujourd’hui, la moindre information extraite lors d’une infiltration malveillante dans un blog, un site, un forum, un portail communautaire, se transforme en billets verts. Noms, prénoms, téléphones, et je ne parle que de ces trois données précises, peuvent s’échanger pour quelques centimes d’euros.

Les dernières ventes que j’ai pu croiser proposaient ces informations pour 0,15€.

Plus d’informations à vendre, comme ces 40.000 passeports que j’ai découvert dans une de mes recherches, cela peut atteindre 10 $ US le scan.

Bref, les tarifs ne veulent rien dire. Ils varient aussi selon les besoins du pirate et sa zone géographique. Un pirate Indien, de Manille ou du fin fond de l’Oural, se contentera de 1.000 euros quand un pirate Chinois, Français ou Québécois en réclamera 10 fois plus.

Les données de l’intime

Souvenez-vous, en février 2021, quand je vous révélais la mise en vente, puis la diffusion, de 500.000 données de santé appartenant à des Français de l’Ouest de l’Hexagone. Nous étions dans l’intime, le secret médical.

Cependant, il existe un autre intime. Il est plus juteux encore pour les pirates, le S3xe.

J’ai découvert la mise en vente, par un pirate informatique, des données présumées volées au portail communautaire MYM.

Ce site permet aux créateurs de contenus de se créer une communauté. Une communauté qui viendra payer pour des images, des vidéos, des créations 100% personnalisées. « Sur MYM, vous n’êtes plus un fan anonyme. Les stars vous reconnaissent, vous écoutent, et partagent avec vous des moments privilégiés qu’aucun autre réseau social ne vous offre. » Idée géniale qui vient malheureusement de croiser la route d’un grain de semble pirate.

Depuis début juillet 2021, un black hat, un hacker malveillant, propose pour 2.450 $ US deux millions de comptes présumés appartenir au membres du site MYM.

Pour convaincre ses potentiels acheteurs, ce « chapeau noir » va diffuser deux échantillons gratuits, se moquant totalement de la vie privée et des données personnelles.

Des échantillons qui m’ont permis de contacter l’ensemble des personnes présentes dans les fichiers.

Le protocole ZATAZ est mis en alerte afin que les victimes puissent rapidement agir.

Aucunes des dames contactées n’étaient au courant de cette fuite « Je suis totalement abasourdie » m’indique F., jeune internaute de 24 ans proposant des contenus pour adultes. « C’est mon seul revenu« , me souligne E. Savoir mes données personnelles diffusées de la sorte. Je suis effondrée« .

190 000 filles, 1,7 millions de garçons

Le pirate propose à la vente six fichier Excel qu’il a compartimenté : filles, hommes, comptes de paiements, ambassadeurs, administrateurs ou encore détails de paiements. Selon lui, plus de 190 000 sites de « filles ». 1,7 millions de « garçons ». 3 600 ambassadeurs. Le pirate indique aussi avoir en sa possession plus de 750 000 détails de paiements, et les données de 45 présumés administrateurs de MYM.

Dans les informations que j’ai pu consulter, sauvegardées par le pirate via un site de téléchargement accessible sur le web, j’ai pu y constater les pseudos, les identités (nom, prénom), numéros de téléphone, adresses postale, dates de naissance, annonces commerciales « Je vous vends les photographies de mes pieds » ; « photos professionnelles selfie et vidéo non censurées » ; « Model, libre rapidement« .

« Je suis totalement abattu, m’annonce I., 23 ans. Ma famille ne connait pas mes activités. Pensez-vous que ces données vont finir sur Internet ?« .

Cette question, toute légitime, a connu une identique réponse de ma part : « Oui« .

Pour le moment, les échantillons et les six bases de données en vente restent « cachées » dans le darknet. Elles finiront, un jour ou l’autre, par ressortir dans les moteurs de recherche, sur le web. Rien n’empêche de penser que le premier pirate a pu exploiter les mots de passe pour accéder aux comptes des créateurs de contenus et copier ces contenus, surtout si ces derniers sont très privés. Lire l’article sur les exemples d’exploitations des fichiers volés.

J’ai proposé des contacts aux personnes concernées afin d’agir rapidement auprès des autorités, ainsi que des références utiles pour déréférencer les potentiels liens affichant leurs informations personnelles. Liens qui apparaitront, malheureusement, d’ici quelques jours à quelques semaines.

MYM a été contacté. Une réponse rapide du support m’est parvenue. Il m’a été demandé de « leur en dire d’avantage ! » Ils ont reçu l’ensemble des informations que j’ai pu collecter afin de protéger le plus rapidement possible leurs abonnés.

Un coup dur alors que le portail a vécu des problèmes techniques, ces dernières semaines « La migration gigantesque des données provoque des difficultés de navigation. Toutes nos excuses pour la gène occasionnée, toute notre équipe travaille d’arrache pied pour résoudre la situation au plus vite » indique le support.

ZATAZ a offert son Service veille à l’ensemble des personnes contactées afin de mettre sous veille les données et de savoir si ces dernières sortent ailleurs.

Mise à jour 15h.Le cofondateur de Mym, Pierre Garonnaire m’a contacté afin de comprendre l’origine de cette information. A la vue de l’échantillon, il semble être confirmé que ces données concernent des comptes créés il y a plus de 18 mois. Les informations issues de comptes non certifiés sont déclaratives et erronées dans la majorité des cas. La plateforme MYM a vu sa sécurité renforcée depuis son lancement début 2019. Un audit de sécurité a été opéré en avril 2020 et la double authentification a été rendue possible pour tous les créateurs en mai 2020.

Une notification auprès de la CNIL va être initiée dans les plus brefs délais ainsi qu’un dépôt de plainte auprès de la brigade spécialisée.

Aujourd’hui, la plateforme compte plus de 7 millions d’utilisateurs. J’ai conseillé à MYM d’alerter les abonnés pouvant être concernés, utilisateurs d’avant avril 2020.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.