Publication des données du piratage de Patreon

Piratage

Le code source du site et les données personnelles des utilisateurs de Patreon sont disponibles en téléchargement depuis hier soir.

L’étendue de cette fuite de renseignements – d’une taille de près de 15 Go une fois décompressée – laisse croire à une cyberintrusion d’une envergure importante, comme le rapporte le spécialiste en cybersécurité Troy Hunt. Après avoir analysé le contenu de la base de données, Hunt a dénombré 2,3 millions d’adresses courriel uniques, incluant la sienne. Son authenticité n’est pas remise en question. Cette fuite paraît ainsi bien réelle.

La base de données de Patreon intègre également un lot impressionnant de messages privés, les noms des donateurs liés aux créateurs, et la somme de nombreuses transactions.

«Le fait que le code source est présent est intéressant [et] suggère beaucoup plus qu’une simple attaque par injection de commandes SQL typique et laisse croire à une faille plus importante», a-t-il déclaré à Ars Technica.

En confirmant avoir été la cible d’une cyberintrusion, Patreon a tenu à souligner que «tous les mots de passe, numéros d’assurance sociale et informations fiscales» avaient été soigneusement chiffrés par le biais de clés RSA de 2 048 bits. Plus précisément, les mots de passe ont été cryptés par le biais de bcrypt, une fonction de hachage lente et extrêmement exigeante en terme de puissance de calcul. Autrement dit, parvenir à déchiffrer ne serait-ce qu’un seul mot de passe demanderait énormément de temps et de ressources.

Malheureusement, puisque cette fuite inclut également le code source du site de Patreon, il est possible que des pirates puissent y trouver des informations (voire, la clé de déchiffrement des mots de passe et de toute autre information confidentielle) ou des erreurs dans le code leur permettant d’accélérer considérablement le processus. C’est d’ailleurs ce que certains sont parvenus à faire avec la base de données des utilisateurs du site d’Ashley Madison le mois dernier.

Enfin, la base de données de Patreon intègre également un lot impressionnant de messages privés, les noms des donateurs liés aux créateurs, et la somme de nombreuses transactions – possiblement la totalité des investissements de l’histoire du service.

  • PinkyPie

    Ça fait pitié! Pas seulement les adresses emails/informations personelles, mais aussi les mots des passe encryptés et le code source. Ça doit être un vol fait à l’interne, comment est-ce que toute l’information peut être disponible au même endroit.

    C’est un site qui nous permet de faire des dons pour la production de contenu qui nous tient à coeur, on reçoit rien en retour, et en plus on se fait voler notre information.

    Être un donnateur, je fermerais mon compte.

    • MClement

      C’est plate mais en 2015 il ne reste que 2sortes de services, ceux qui se sont fait pirater et ceux qui le seront bientôt.

  • bibousiq

    Tous les sites nous proposant de transférer de l’argent devraient être plus sécurisés que ça.

    • http://branchez-vous.com/ Laurent LaSalle

      Le chiffrement selon une clé RSA de 2 048 bits est ce qui est recommandé pour les services bancaires. Rien n’est infaillible, et il va de soi que la clé doit se retrouver quelque part dans le système afin de permettre au site d’effectuer les transactions.