D'énormes violations de données Tumblr et LinkedIn pourraient être liées

google project zero publie microsoft browser day bug hacker clavier chambre noireL'ampleur massive d'une violation de données qui a affecté la plateforme de blogs sociaux Tumblr a été révélée pour la première fois.

Le service appartenant à Yahoo a admis qu'il avait été piraté en 2013 mais a refusé de divulguer le nombre de comptes concernés. Selon l'expert en sécurité Troy Hunt, les pirates se sont échappés avec environ 65 millions de mots de passe Tumblr au total, ce qui en fait la troisième plus grande violation de données de tous les temps.

Le lien potentiel entre le piratage Tumblr et une brèche LinkedIn récemment révélée est encore plus fascinant. Ce dernier est actuellement le détenteur du record en termes de quantité de données volées, mais Hunt a également établi des parallèles avec la façon dont les données sont vendues en ligne.

Dans les deux cas, les mots de passe extraits par le hacker, ou les hackers, sont tous disponibles pour le plus offrant sur le dark web. De plus, les annonces que Hunt a repérées en ligne ont toutes été créées par le même vendeur, un compte appelé «peace_of_mind». Cela ne signifie pas nécessairement que l'individu est la personne responsable des violations, mais c'est encore une autre similitude.

Il y a aussi une troisième brèche, concernant un réseau social autrefois populaire mais maintenant disparu, qui serait le plus grand de tous. On pense que MySpace a été piraté à une date non précisée, peut-être à son apogée au milieu des années 2000, et que 360 ​​millions de disques ont été volés. Le fait que toutes ces violations soient maintenant mises au jour est une autre indication que les auteurs peuvent être les mêmes, selon Hunt.

«Il y a des modèles vraiment intéressants qui émergent ici. L'un est évidemment l'âge; la dernière brèche de cette récente vague remonte à plus de trois ans », déclare Hunt. "Ces données sont restées inactives (ou du moins hors de la vue du public) pendant de longues périodes."

Les experts en sécurité conseillent également aux entreprises de médias sociaux d'aller au-delà des mots de passe afin de protéger leurs membres.

«Les failles sur MySpace et LinkedIn ne sont que deux autres exemples illustrant pourquoi les mots de passe ne sont pas suffisants pour protéger les données sensibles», a déclaré Vishal Gupta, PDG de la startup de sécurité Seclore, à Digital Trends. «Les solutions de sécurité centrées sur les données sont un candidat naturel pour compléter le mot de passe de plus en plus affaibli. En appliquant des protections au niveau des données, même si les pirates parviennent à mettre la main sur des informations sensibles, les données restent totalement inutilisables. »

Il est important de noter que Tumblr affirme que l'ensemble des adresses e-mail des utilisateurs volés contenaient tous des mots de passe salés et hachés SHA1, qui sont beaucoup plus difficiles à craquer.