Un site porno a fait fuiter les données d’un million d’utilisateurs

Luscious.net se retrouve dans une situation délicate. D’après les experts en sécurité de VPNMentor, une base de données du site porno n’était pas suffisamment sécurisée et les chercheurs ont pu accéder aux données de plus d’un million d’utilisateurs du service.

Luscious.net a choisi de se spécialiser dans le domaine des hentaïs, et donc des mangas à caractère pornographique.

Facepalm

Crédits Pixabay

Les visiteurs du site peuvent donc découvrir une large variété d’oeuvres plaçant des protagonistes fictifs dans des scènes très épicées. Le tout avec des proportions souvent peu réalistes.

La base de données n’était pas sécurisée, et les données n’étaient pas chiffrées

Toutefois, le site ne se limite pas à ce seul secteur d’activité et il offre aussi à ses visiteurs une dimension plus sociale. Les internautes peuvent ainsi créer un compte sur la plateforme et partager leurs propres photos dans une des nombreuses catégories proposées.

Des catégories allant de la photo soft aux contenus fétichiste, en passant par un large éventails de thématiques très variées.

Si certaines femmes et certains hommes n’hésitent pas à poser avec le visage apparent, d’autres font bien entendu en sorte de dissimuler leur identité.

Malheureusement pour eux, il semblerait que les développeurs du site ne l’aient pas suffisamment bien sécurité. En procédant à un contrôle de routine, les chercheurs en sécurité de VPNMentor ont en effet réalisé qu’une de ses bases de données n’était pas suffisamment bien sécurisée.

En réalité, les experts sont même parvenus à accéder à des données très sensibles, des données relatives aux comptes des utilisateurs. Comme leur pseudonyme, par exemple, ou même leur adresse électronique, leur journal d’activité ou encore… leurs données de localisation.

La faille a été corrigée

Pire encore, ils ont également réussi à lier ces fameux comptes avec les vidéos téléchargées sur le site.

Pour ne rien arranger, si l’accès à cette base était relativement simple, les données ne présentaient aucun chiffrement et elles étaient donc en accès libre. Attention cependant, car VPNMentor précise bien dans son rapport que si les données étaient vulnérables, rien ne semble indiquer qu’elles aient été exploitées par un tiers.

Et il faut espérer que cela n’a pas été le cas. Il est en effet difficile de ne pas dresser un parallèle avec le site AshleyMadison, un site spécialisé dans les rencontres libertines. Des hackers avaient en effet réussi à dérober les données de plusieurs centaines de milliers de comptes utilisateurs et ils avaient tenté de faire chanter son éditeur, sans succès.

Faute de rançon, ils avaient donc fini par publier toutes ces données sur le dark net et de nombreuses personnes malveillantes en avaient profité pour tenter de faire chanter certains utilisateurs. Cette fuite de données s’était alors traduite par un nombre conséquent de divorces… mais aussi par plusieurs suicides.

À noter que VPNMentor a contacté l’entreprise derrière Luscious.net le 15 août pour lui faire remonter ses observations. Le problème a été réglé quatre jours plus tard, le 19 août. Les développeurs du site se sont donc montrés assez réactifs. Et c’est une bonne chose.

D’après les chercheurs en sécurité à l’origine de cette découverte, certains utilisateurs du site ont eu la très mauvaise idée de se connecter avec leur adresse mail professionnelle et ces derniers ont ainsi eu la surprise de trouver plusieurs e-mails… du gouvernement américain.

Mots-clés sécurité