Après Collection #1 et Collections #2-5, The Register a repéré la publication d'un grand nombre de comptes en ligne dont les données ont été compromises. Quelque 617 millions de comptes sont concernés pour des fuites de données couvrant un total de 16 sites*.
Ces fuites de données font l'objet d'un commerce sur une plateforme cachée sur le réseau Tor pour l'équivalent en tout de près de 20 000 dollars en bitcoins. Sur la base d'un échantillon, The Register a pu confirmer l'authenticité des données a priori collectées par un même individu.
Elles comprennent principalement des noms d'utilisateur, adresses email et mots de passe. Les mots de passe sont hachés (hashed) et donc pas proposés en clair (à casser le cas échéant). D'autres données peuvent être présentes comme des informations personnelles et jetons d'authentification à des réseaux sociaux.
Par contre, The Register souligne qu'il ne semble pas y avoir des données de paiement ou des détails sur des cartes bancaires.
Parmi les sites concernés, MyFitnessPal, qui héberge des données d'objets connectés en rapport avec la santé et la pratique sportive, et MyHeritage par exemple pour lesquels il s'agit de fuites de données anciennes qui avaient fait parler d'elles par le passé.
La plateforme de généalogie en ligne MyHeritage avait évoqué l'année dernière un incident de sécurité remontant à octobre 2017, en précisant ne pas stocker les mots de passe des utilisateurs, mais " un hachage unidirectionnel de chaque mot de passe, dans lequel la clé de hachage diffère pour chaque client. "
Un site comme 500px (partage de photos) vient cependant de publier une FAQ sur un incident de sécurité qui aurait eu lieu en juillet. Par mesure de précaution, il est demandé à tous les utilisateurs de réinitialiser leurs mots de passe. Une procédure qui a d'ores et déjà été forcée pour tous les mots de passe avec un chiffrement MD5 obsolète.
DataCamp alerte également avoir découvert en début de semaine que des données d'utilisateurs ont été exposées par un tiers ayant obtenu un accès non autorisé à l'un de ses systèmes. Une enquête est en cours.
* Dubsmash (162 millions de comptes), MyFitnessPal (151 millions), MyHeritage (92 millions), ShareThis (41 millions), HauteLook (28 millions), Animoto (25 millions), EyeEm (22 millions), 8fit (20 millions), Whitepages (18 millions), Fotolog (16 millions), 500px (15 millions), Armor Games (11 millions), Bookmate (8 millions), CoffeeMeetsBagel (6 millions), Artsy (1 million) et DataCamp (700 000).
