Sexe virtuel : 20000 données clients d’une app porno accessibles

Sexe virtuel et pirates informatiques ! Plusieurs lecteurs ont reçu un courriel menaçant leur indiquant avoir été pris la main dans le caleçon alors qu’ils visitaient un site pornographique. Un rapport avec la fuite de données ayant visé les utilisateurs de l’application porno Sin VR ?

Sexe virtuel et pirates informatiques – Plusieurs lecteurs de ZATAZ m’ont alerté d’un étrange courriel qu’ils venaient de recevoir dans leur boite mail. L’interlocuteur leur réclame 300$, en bitcoins, contre son silence. L’homme explique qu’il est conseillé au lecteur de sa missive de « coopérer, parce que J’ai infecté votre ordinateur ». Le courriel indique que vous auriez été piégé à regarder du porno. « Je vous ai filmé. enchéri l’escroc, Cela veut dire que j’ai une saleté sur vous. J’ai téléchargé une liste de tous vos contacts (amis, parents et collègues). » Bref, l’escroc joue sur le levier : peur, honte, dénonciation. Une arnaque qui fonctionne ?

D’après ce que j’ai pu constater, oui ! Le malveillant espère tomber sur des personnes ayant visité des sites pornographiques. Il espère aussi que ces dernières y voient des visites « honteuses ». Bilan, ils paient. Pour l’exemple de mes interlocuteurs, l’adresse Bitcoin proposé par le pirate a déjà reçu 2 paiements, soit 640 dollars US.

Quand un directeur de PME me contacte pour savoir ce qu'il risque … et m'avoue (sans rien lui demander) visiter "de temps en temps" des sites pour adultes. Bref, ce mail est une escroquerie. #cybersecurite @zataz @cybervictimes pic.twitter.com/D6wIhoeJ7U

— Damien Bancal (@Damien_Bancal) January 17, 2018

Le pirate joue donc sur la peur du « coquin ». Bien évidement, pas de virus dans les vidéos pornos. Il ne vous a pas filmé. Il joue sur la peur de la honte publique. Mais comment a-t-il pu avoir l’adresse mail de ses victimes ? Simple ! Il existe des milliers de bases de données sur le web, rien qu’avec Google, qui permet de se constituer une liste de « prospects ». Dans le lot, obligatoirement des visiteurs de sites pornos. Il n’a plus qu’à lancer son filet et espérer voir tomber les pigeons dans son filet tendu.

Collecter des mails de consommateurs de pornographie et de sexe virtuel

Vidéos, forums, sites de rencontres, jeux vidéo dédiés à la pornographie et aux rencontres sexuelles entre adultes consentants pullules sur la toile. Pas compliqué pour un pirate de collecter des informations sur des cibles potentielles. Souvenez-vous, par exemple, de l’affaire Ashley Madison. Le site de rencontres piraté. Les données des utilisateurs vont servir à des chantages financiers. Aux USA, en Nouvelle-Zélande et au moins deux cas connus de ZATAZ ont impactés des utilisateurs de Ashley. En Côte d’Ivoire, et plus précisément du côté d’Abidjan, des scammeurs habitués aux chantages sentimentaux s’étaient attelés à décortiquer les bases de données d’Ashley Madison pour chercher les “contacts” à pigeonner. Ils ont réclamé 450$, en Bitcoins, contre leur silence. Même sanction, en 2011, pour plusieurs utilisateurs du site Camping car échangiste (aujourd’hui fermé, NDR).

Looks like @sinvrxxx has fixed the vulnerability we raised that exposed thousands of user details. Thanks to @troyhunt and @securityledger for helping us get the word out.

If they'd like to get in touch with us, we'd like to share details about some other vulns we found.

— Digital Interruption (@DI_Security) January 14, 2018

Il y a quelques jours, j’apprenais que les adeptes de jeux sexuels en réalité virtuelle avaient été impactés par une faille visant la société Digital Interruption. L’entreprise avertissait ses clients que sa base de données avaient été impactées par une faille. Vulnérabilité découverte par une société de sécurité informatique. 20.000 clients impactés qui ont très bien pus être infiltrés par des pirates avant la découverte « officielle » de cette faille. En cause, l’application SinVR de Digital Interruption.