Ce week-end, EscortReviews.com, la plateforme d’une communauté qui promeut l’escorte féminine et l'examen de leurs services a subi une violation de données après qu'un cybercriminel ait piraté le site et volé la base de données du forum. Les informations volées ont été postées sur des forums de pirates, exposant 2,4 millions de sujets de discussion, 12,5 millions de messages et 472 695 membres. Il s'agit d'un cas d'exposition grave, car beaucoup de ces membres préfèrent garder leurs coordonnées privées pour une raison ou pour une autre.
Le site fonctionnait avec vBulletin, un logiciel commercial développé par Jelsoft Entreprises Ltd, écrit en PHP et utilisant la base de données MySQL. Les vulnérabilités CVE-2018-6200 et CVE-2019-17131 connues sur vBulletin pouvaient permettre à des acteurs de la menace d'accéder au site. La version 3.8.9 du vBulletin, qui était en vigueur au moment du piratage, présentait de nombreuses vulnérabilités bien documentées.
En effet, la vulnérabilité CVE-2018-6200 identifiée sur les versions 3.x.x et 4.2.x à 4.2.5 de vBulletin permet une redirection via le paramètre url redirector.php. La CVE-2019-17131 connue sur les versions antérieures à vBulletin 5.5.4 permet le clickjacking : une technique visant à pousser un internaute à fournir des informations confidentielles ou à prendre le contrôle de son ordinateur en le poussant à cliquer sur des pages apparemment sûres.
Pour l’heure, on ignore si le forum a été piraté en utilisant l'une de ces vulnérabilités ou si le site a laissé une sauvegarde non sécurisée de la base de données en ligne. Les pirates utilisent couramment les injections SQL pour pirater les bases de données relationnelles. SQL est le langage utilisé pour interroger une base de données relationnelle. Les injections SQL permettent aux cybercriminels de manipuler les données de l'utilisateur afin de créer des requêtes SQL malveillantes et d'obtenir des données sensibles à partir de la base de données relationnelle.
Les attaques basées sur le Web sont difficiles à défendre, car il peut y avoir de nombreuses vulnérabilités connues et inconnues dans le code des sites Web. Aujourd'hui, les employés sont censés exercer leurs activités partout et avec n'importe quel périphérique, en défiant les modèles de sécurité et de déploiement traditionnels. L'utilisation incontrôlée des réseaux sociaux et des plateformes Web par les employés ouvre la porte aux logiciels malveillants sur le Web.
La base de données de Escortreviews.com ne contenait pas nécessairement de vrais noms. Les données exposées par les cybercriminels comprennent les noms d'utilisateurs, les adresses électroniques, les mots de passe hachés en MD5, les adresses IP, ainsi que les identifiants de compte Skype. Ainsi, selon que ces noms d'utilisateurs, adresses électroniques ou comptes Skype contiennent ou non un nom réel, les utilisateurs sont aujourd’hui confrontés à une grave exposition. Pour certains analystes, de nos jours, le MD5 n'est pas considéré comme un algorithme de hachage puissant, de sorte que les utilisateurs peuvent considérer que leurs mots de passe sont également compromis.
Il est recommandé aux membres du site Escortreviews.com de réinitialiser leur mots de passe sur d'autres plateformes où ils utilisent peut-être les mêmes identifiants. S'ils reçoivent des courriels de "phishing" ou de rançon, qu'ils les signalent à la police et ne pas répondre à aucun d'entre eux. Céder au chantage peut sembler être une porte de sortir d'une telle situation, mais cela ne fera que perpétuer le problème.
Face à ces attaques sur les bases de données, les directives suivantes peuvent être utilisées comme contre-mesure par les développeurs d'applications :
- suivre les meilleures pratiques pour effectuer une validation correcte des entrées utilisateur ;
- déployer les systèmes de prévention des intrusions (IPS) pour détecter et prévenir les injections de commandes malveillantes ;
- informer les utilisateurs finaux sur comment reconnaître les attaques de "phishing".
Pour l’heure, le site a été bloqué et indique que la base de données Escort Reviews a rencontré un problème. On ne sait pas s'il sera réouvert et quand il le sera.
Source : escortreviews
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
La sécurité dans le Cloud reste challengée par la complexité et le Shadow IT d'après IBM, principales menaces : Vol de données, cryptomining et ranswomware
Les incidents de sécurité touchent plus de la moitié des entreprises qui stockent des données dans le cloud, d'après un nouveau rapport de Netwrix
Avaddon, un groupe de cybercriminels, utilise des attaques DDoS pour forcer les victimes à payer des rançons, comme contre-mesure à l'avis du Trésor US qui interdit le paiement des rançons
Sécurité : un ado de Floride lance une attaque DDoS et rend inaccessible la plateforme d'enseignement à distance mise sur pied par son école, pour la rentrée scolaire dans le contexte du Covid-19