Fuite d'identifiants MySpace

Fin mai 2016, les identifiants d'environ 360 millions de comptes MySpace sont apparus en vente sur une place de marché du dark web, et le 31 mai 2016, l'entreprise — alors détenue par Time Inc. — a confirmé la fuite. Bien que MySpace ait depuis longtemps perdu sa pertinence culturelle, ce vidage figurait parmi les plus grandes fuites d'identifiants jamais divulguées et a souligné à quel point d'anciens comptes abandonnés restent une vulnérabilité longtemps après l'apogée d'une plateforme.

Ce qui s'est passé

Les données compromises étaient anciennes. MySpace a migré vers une nouvelle plateforme le 11 juin 2013, et tous les enregistrements divulgués appartenaient à des comptes créés avant cette date — ce qui signifie que le vol lui-même a probablement eu lieu des années avant que les données ne fassent surface publiquement. Le jeu de données était proposé par un vendeur sous le pseudonyme « Peace », le même acteur qui vendait les données des fuites LinkedIn et Tumblr à la même période, dans une vague de « méga-fuites » divulguées en 2016.

Le service d'indexation de fuites LeakedSource, qui en a obtenu une copie, a fait état de 360 213 024 enregistrements contenant noms d'utilisateurs, adresses e-mail et mots de passe. Certains comptes comportaient un second mot de passe. Les mots de passe étaient stockés sous forme de hachages SHA-1 non salés — le même schéma faible mis en cause dans la fuite LinkedIn — calculés sur des mots de passe mis en minuscules, réduisant encore l'espace de clés et facilitant la cassure de masse.

Impact

~360 millions de comptes ont vu leurs noms d'utilisateurs, adresses e-mail et hachages de mots de passe SHA-1 cassables exposés.
Comme les données étaient liées à des comptes dormants, le risque de fraude direct pour MySpace lui-même était limité, mais les identifiants avaient de la valeur pour des attaques par bourrage d'identifiants contre les nombreux utilisateurs ayant réutilisé ces mots de passe ailleurs au fil des ans.
MySpace a invalidé les mots de passe de tous les comptes concernés et averti les utilisateurs, mais la plateforme étant largement abandonnée, beaucoup de titulaires de comptes n'ont jamais vu les avertissements.
La fuite s'inscrivait dans un ensemble de méga-fuites historiques (LinkedIn, Tumblr, VK, Fling) qui ont inondé les marchés du dark web en 2016 et ont été intégrées aux services de notification de fuites.

Pourquoi c'est important

MySpace est l'exemple canonique du risque des « comptes zombies » : des données qui conservent de la valeur des années après que les utilisateurs ont cessé de s'intéresser à un service. Le même échec de stockage des mots de passe que LinkedIn — le SHA-1 non salé — a transformé une base de données obsolète en outil d'attaque exploitable, rappelant que les systèmes hérités doivent être migrés ou durcis, et non simplement laissés en fonctionnement.

La vague de méga-fuites de 2016, dont MySpace fut une pièce maîtresse, a remodelé la façon dont la communauté de la sécurité conçoit la réutilisation des mots de passe. Elle a montré clairement qu'une fuite chez une plateforme grand public revient à une fuite contre tous les autres services où les utilisateurs ont recyclé le même mot de passe, accélérant l'essor des gestionnaires de mots de passe, de l'authentification multifacteur et de la surveillance proactive des fuites.

Chronologie

11 juin 2013

MySpace migre vers une nouvelle plateforme ; les comptes créés avant cette date sont ceux retrouvés plus tard dans le jeu de données divulgué.

27 mai 2016

Des informations font état d'un pirate vendant plus de 360 millions d'identifiants MySpace sur une place de marché du dark web.

31 mai 2016

MySpace confirme publiquement la fuite, l'attribuant à des données dérobées avant juin 2013 et désormais proposées à la vente.

1 juin 2016

LeakedSource indique que le jeu de données contient 360 213 024 enregistrements avec noms d'utilisateurs, e-mails et hachages de mots de passe SHA-1.

Sources

welivesecurity.comhttps://www.welivesecurity.com/2016/06/01/myspace-data-breach-360-million-accounts-affected/

infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/hacker-steals-data-360-million/

itpro.comhttps://www.itpro.com/hacking/26642/myspace-confirms-it-has-been-hacked

tomsguide.comhttps://www.tomsguide.com/us/myspace-data-breach,news-22745.html

Incidents liés

Fuite de donnéesRésolu6 octobre 2021

Fuite du code source et des rémunérations des créateurs de Twitch

Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.

Victim: Twitch (Amazon)

Fuite de donnéesRésolu26 avril 2011

Violation du PlayStation Network de Sony

Des intrus ont pénétré le PlayStation Network et Qriocity de Sony, compromettant les données personnelles d'environ 77 millions de comptes et provoquant une panne mondiale de 23 jours — l'une des plus grandes violations de données de consommateurs de son temps.

Victim: Sony Network Entertainment / Sony Computer Entertainment
Loss: $171.0M
Records: 77.0M

Fuite de donnéesRésolu22 septembre 2016

Fuites de données Yahoo (3 milliards de comptes)

Deux fuites distinctes — révélées en 2016 mais remontant à 2013 et 2014 — ont exposé l'intégralité des comptes Yahoo existants. Trois milliards de comptes : la plus grande exposition de données d'une seule entreprise de l'histoire.

Victim: Yahoo!
Loss: $470.0M
Records: 3.00B

Fuite de donnéesRésolu1 juillet 2016

Fuite de données AbuseWith.Us (2016)

En 2016, le site dédié à aider les internautes à pirater des comptes de messagerie et de jeux en ligne, connu sous le nom d'Abusewith.us, a subi plusieurs fuites de données. Le site aurait eu un administrateur en commun avec le tristement célèbre site LeakedSource, tous deux ayant depuis été fermés.

Victim: AbuseWith.Us
Records: 1.4M