Mauvaise nouvelle pour les utilisateurs de StripChat, qui se qualifie elle-même comme la plus grande plateforme de chat vidéo pour adultes et revendique plus de 500 millions d’utilisateurs par mois. L’audience n’est visiblement pas en adéquation avec le niveau de sécurité, car le chercheur en sécurité Bob Diachenko de Comparitech a détecté, le 5 novembre dernier, un cluster de serveurs de cette entreprise en accès libre sur Internet.
Au menu : les données d’environ 65 millions d’utilisateurs enregistrés et de 421 000 performeuses et performeurs. Pour les premiers, on pouvait accéder — entre autres — à l’identifiant, l’adresse e-mail, l’adresse IP, le FAI, les paiements (« tips »), la date de dernière activité et la date de création de comptes. Pour les seconds, il était possible d’avoir le nom d’utilisateur, le sexe, l’identifiant du studio, le statut, les options de « tips » et le score général. Au-delà de ça, les serveurs donnaient accès à 134 millions de transactions réalisées (tips et tokens) et 719 000 messages échangés.
A découvrir aussi en vidéo :
Alertée par le chercheur, StripChat a sécurisé cette base de données deux jours plus tard. On ne sait pas si les données exposées ont effectivement été volées par des personnes malveillantes, mais il faut partir du principe que c’est le cas. En 2020, Comparitech a montré qu’il ne fallait que quelques heures aux pirates pour détecter une base de données en accès libre sur Internet. Or, dans le cas de StripChat, ils ont eu plusieurs jours devant eux. Ces millions de données sont dont probablement déjà en vente dans les forums de hackers, voire utilisées dans le cadre de cyberattaques. Selon Bob Diachenko, la présence d’adresses IP serait particulièrement préoccupante, car elles « pourraient permettre à quelqu’un de trouver et de traquer, de harceler ou même d’agresser quelqu’un ».
Dans un communiqué, StripChat précise que les données exposées ne contenaient aucun mot de passe, aucune donnée financière et aucun document de vérification de compte.
« Stripchat prend la sécurité de ses utilisateurs et de ses modèles très au sérieux et utilise les meilleurs protocoles de sa catégorie pour protéger les informations sensibles. Nous enquêtons sur les circonstances entourant cette violation et nous vous tiendrons informés dès que nous en apprendrons davantage sur les effets potentiels », souligne l’entreprise dont le siège social est à Chypre.
En tant qu’utilisateur, il est difficile de se protéger d’une telle fuite de données. C’est pourquoi il peut être judicieux d’utiliser un VPN pour masquer son adresse IP réelle et de ne pas choisir des identifiants et des adresses e-mail permettant de facilement vous identifier.
Sources: Comparitech, StripChat