Les données du forum Zone alarm piratées

ZATAZ découvre que le forum de Zone alarm a été piraté. Les données des utilisateurs volées et diffusées sur le web.

Zone Alarm est un outil de cyber sécurité de la société Check Point Software Technologies Inc. Ce logiciel protégerait plus de 100 000 000 personnes dans le monde entier. « Nous sommes fiers de protéger les particuliers et les petites entreprises des cybermenaces connues et nouvelles grâce à une technologie de pointe fournie par les plus grandes sociétés au monde » dixit le site web de cette société.

Seulement, il y a comme un grain de sable que ZATAZ vient de repérer. Le forum de ZoneAlarm.com a été piraté.

Les malveillants ont exploité la faille Vbulletin. Une vulnérabilité que je vous décrivais, il y a peu, en indiquant qu’elle faisait de gros dégâts. Quasiment aucun article de presse sur le sujet, autres que ceux de votre serviteur.  Peu d’échos sur cette faille et les fuites de données personnelles qui en découlent.

Pour information, j’ai pu repérer dans des espaces pirates sous surveillance, plus de 3 200 sites infiltrés. Soir 3 200 bases de données volées.

Widget_php

Une fois encore, une vulnérabilité qui n’a pas été corrigée. Pourtant, connue depuis la fin septembre 2019. Exploitée depuis, au moins, l’été 2019.

Les développeurs de vBulletin ont mis à jour leur outil le 24 Septembre 2019 (CVE-2019–16759). Les versions 5.5.2, 5.5.3 et 5.5.4 de vBulletin ont été corrigées.

Pour le cas de Zone Alarm, une partie de la base de données se retrouve dans le dark net.

Des pirates diffusent plus de 5 000 comptes. Le document que ZATAZ a pu récupérer affiche plus de 220 000 « ID ».

On y retrouve des informations telles que : userid, username, password date, mail, icq, aim, yahoo, msn, skype, google, ip, fb user id …

Les mots de passe chiffrés/hashés (nativement par vB).

Fin octobre 2019, l’entreprise diffusait un communiqué de presse indiquant que le RGPD avait produit un effet profondément positif pour les entreprises européennes. En attendant, le pirate a diffusé la faille donnant accès à la base de données.

Parmi les entreprises impactées par cette fuite : Comodo, Vmedia, Hookers, Elsword, Com2us, Toulanforum …

Dans la BDD diffusées par les malveillants, 5 000 comptes, dont 54 .fr, 46 .ca, 21 Suisses, 14 Belges, 3 .lu.

Mise à jour

A la suite de la découverte, le mail d’alerte et l’article de ZATAZ, l’entreprise m’a contacté. « L’unité ZoneAlarm de Check Point a contacté un petit nombre de membres du forum inscrits concernant une fuite d’index sur le site Web de ce forum, qui est distincte des serveurs de toute autre société. […] Bien que les mots de passe associés à l’index restent cryptés (chiffrés par Vbulletin : bcrypt, ndr), ZoneAlarm a demandé à ses abonnés de modifier leur mot de passe. » Ce site Web est isolé de tout autre site Web de la société et « utilisé uniquement par les abonnés inscrits« . ZoneAlarm mène une enquête sur l’affaire. Nous sommes fiers d’avoir adopté une approche proactive une fois que cet incident a été détecté et dans les 24 heures, et avons alerté les membres du forum. Nous pensons qu’il s’agit de la norme nécessaire dans notre secteur.