CAM4

CAM4 : Les données de plus de 4 Millions de Français fuités par un site Porno

Notamment connu pour le streaming de webcams et de chat sexe gratuit, le site pornographique CAM4 à récemment été victime d’une fuite de donnée conséquente. En effet, ce les données personnelles de pas moins de 4 millions de Français qui se retrouvent ainsi dans la nature…

Ce n’est pas un cas isolé et nombreux sont les sites web ayant étés victimes un jour ou l’autre d’une fuite de données, cependant lorsqu’il s’agit de pornographie, cela devient forcément embarrassant pour certains. Concernant la fuite de données de CAM4, les chercheurs de Security Détectives ont découvert à ce jour, l’équivalent de 7TB de données comprenant entre autres les données personnelles de millions d’utilisateurs.

Le nombre de visiteurs que compte CAM4 est colossal, en effet, ce ne sont pas moins de 2 milliards de visiteurs qui s’y pressent chaque année. CAM4 permet aux usages de visualiser des shows virtuels, menées de bout en blanc et organisées par les hôtesses elles-mêmes. Chaque jour, ce ne sont pas moins de 76 000 shows qui se voient diffusés en live représentant un total de pas moins d’un million d’heures de streaming par semaine. Des chiffres qui donnent le tournis !

Parmi les données contenues dans cette énorme fuite, se trouvent entre autres le nom, l’adresse e-mail, le pays, la date d’inscription, des informations comprenant les préférences sexuelles de la personne, l’adresse IP ou encore le type d’appareil utilisé. Les mots de passe figurent eux aussi mais sous un format dit, hashé, c’est à dire crypté. Des spécialistes de sécurité informatique ayant eu accès à cette fuite de données, affirment qu’il est possible de consulter les conversations privées des usages ainsi que les dépenses réalisées sur le site ainsi que le moyen de paiement.

En totalité, ce sont les données de pas moins de 11 millions d’utilisateurs de CAM4 qui voient ainsi s’envoler leurs données personnelles dans la nature qui plus est, très gênante d’un point de vue éthique. Dans cette fuite figurait 6,5 millions d’Américains, 5,3 millions de Brésiliens, près de 5 millions d’italiens mais également 4,1 millions de Français et pas moins de 3 millions d’Allemands.

CAM4 : Mal configuré, ElasticSearch fût la cause de cette fuite de données colossale.

Les données de CAM4 étaient réparties sur un cluster représentant au total près de 11 milliards d’enregistrements. Le problème est que l’une des bases de données du site utilisé lors de sa mise en production fût accessible au public sur internet.

La cause à rapidement été trouvée, il s’agissait simplement d’une erreur de configuration sur un cluster ElasticSearch. Bien qu’équipé des fonctionnalités de sécurité d’Elastic Stack (téléchargeable librement depuis mai 2019), les spécialistes en sécurité informatique ne cessent de trouver de nombreux serveurs ElasticSearch mal configurés et ou mal sécurisés.

A lire également  Pourquoi utiliser des plombs et scellés de sécurité ?

Une erreur commune que l’on retrouve dans de nombreuses fuites de données liées à ElasticSearch est de rendre l’accès au serveurs possible via internet. Cependant, il est impératif que ces derniers ne soient accessibles que via l’intranet. Pour se faire et sécuriser comme il se doit les clusters, la mise ne place d’un contrôle par mot de passe, rôle et filtrage ip par un Firewall est impératif.

C’est après que les chercheurs de Security Detectives aient prévenus la maison-mère de CAM4, Granity Entertainement, que les Sys Admin ont immédiatement mis hors ligne la base de données mis en cause dans cette fuite.

Malgré cette rapide prise de conscience et correction, les hackers ont toutefois eu tout le loisir d’accéder à ces données avant même que cette faille ne fût détectée. Le problème sur ce genre de fuite de données est que les cybercriminels peuvent facilement s’en servir pour lancer des campagnes de phishing, d’usurpation ou encore, de faire chanter leurs victimes sous couvert de révéler les habitudes et tendances sexuelles de l’usager.

Lorsqu’il y a une fuite de donnée, et plus particulièrement en ce qui concerne les sites pour adultes, les informations fuités relevant de la vie privée, voire de l’intimité des usagers peuvent poser de gros problèmes. Ce qui fût le cas pour notamment la fuite du réseau social Ashley Madison, un réseau dédié à l’adultère en 2015 et dont les usagers sont encore aujourd’hui pour certains, victimes de campagnes de chantage et d’intimidation. Le cybercriminel peut par exemple menacer de révéler la vie secrète de la victime à son époux ou son épouse a moins de verser une certaine somme d’argent, le plus généralement en BTC (bitcoins) au maitre chanteur. Une pratique dangereuse et de plus en plus répandue alors que la vie numérique des internautes bat son plein.

Yohann G.