Man holding magnifying glass and padlock with virtual network screen showing how the data breach of Mobifriends dating app highlights the issue of password reuse
mai 18, 2020 Par sexe2 0

La violation de l’application de rencontres Mobifriends met en évidence le problème lors de la réutilisation du mot de passe

De nombreuses personnalités publiques des secteurs de la sécurité et de la technologie ont battu le tambour pour la réutilisation des mots de passe depuis plus d’une décennie. Des connexions d’entreprise aux services de médias sociaux, les politiques de mot de passe poussent les utilisateurs à choisir quelque chose d’unique pour chaque compte. La récente violation de l’application de rencontre populaire Mobifriends est un autre rappel de haut niveau de la raison pour laquelle cela est nécessaire.

3,68 millions d’utilisateurs de Mobifriends ont eu presque toutes les informations associées à leurs comptes, y compris leurs mots de passe, divulguées sur Internet. Initialement proposée à la vente sur un forum de hackers, les données ont été divulguées une deuxième fois et sont désormais largement disponibles sur Internet gratuitement. Certains de ces utilisateurs ont apparemment choisi d’utiliser des adresses e-mail professionnelles pour créer leurs profils, avec un certain nombre d’employés de Fortune 1000 apparents parmi les parties contrevenantes.

Étant donné que le cryptage du mot de passe du compte est faible et peut être déchiffré relativement facilement, les près de 3,7 millions de personnes exposées dans cette violation doivent maintenant être traitées comme si elles étaient répertoriées en clair sur Internet. Chaque utilisateur de Mobifriends doit s’assurer qu’il est libre et exempt de vulnérabilités potentielles liées à la réutilisation des mots de passe, mais l’histoire indique que beaucoup ne le seront pas.

La violation massive de l’application de rencontres

La violation de l’application de rencontres Mobifriends semble s’être produite en janvier 2019. Les informations semblent être disponibles à la vente via des forums de piratage Web sombres depuis au moins plusieurs mois, mais en avril, elles ont fuité gratuitement dans les forums souterrains et se sont propagées rapidement. .

Avant de continuer, que diriez-vous de LinkedIn?

La violation ne contient pas d’éléments tels que des messages privés ou des images, mais contient presque tous les détails associés aux profils de compte d’application de rencontres: les données divulguées comprennent les adresses e-mail, les numéros de mobile, les dates de naissance, les informations sur le sexe, noms d’utilisateur et activité de l’application / du site Web.

Cela inclut les mots de passe. Bien que ceux-ci soient cryptés, c’est avec une fonction de hachage faible (MD5) qui est assez facile à déchiffrer et à afficher en texte brut.

Cela offre à toute personne intéressée par le téléchargement de la liste des comptes d’applications de rencontres un ensemble de près de 3,7 millions de combinaisons nom d’utilisateur / e-mail et mot de passe pour essayer d’autres services. MobiFriends, Robert Prigge, PDG de Jumio, souligne que cela fournit aux pirates un ensemble d’outils troublant: «En exposant 3,6 millions d’adresses e-mail d’utilisateurs, de numéros de téléphone portable, d’informations sur le genre et l’activité des applications / sites Web, MobiFriends criminels tout ce dont ils ont besoin pour effectuer le vol d’identité et la détection de compte. Les cybercriminels peuvent facilement obtenir ces détails, se faire passer pour le véritable utilisateur et commettre des escroqueries et des attaques de rencontres en ligne, telles que la pêche au chat, l’extorsion, le harcèlement criminel et les agressions sexuelles. Étant donné que les sites de rencontres en ligne facilitent souvent les réunions en personne entre deux personnes, les organisations doivent s’assurer que les utilisateurs sont les personnes qui prétendent être en ligne, à la fois lors de la création du compte initial et à chaque connexion suivante. « 

La présence de nombreuses adresses e-mail professionnelles parmi les comptes piratés de l’application de rencontres est particulièrement inquiétante, comme le note le PDG de Balbix Vinay Sridhara: «Bien qu’il s’agisse d’une application pour les consommateurs, cette astuce devrait être très inquiétante pour le compagnie. Étant donné que 99% des employés réutilisent les mots de passe entre le travail et les comptes personnels, les fuites de mots de passe, protégées uniquement par le hachage MD5 très obsolète, sont désormais entre les mains des pirates. Pire encore, il semble qu’au moins certains employés de MobiFriends aient également utilisé leur adresse e-mail professionnelle, de sorte que les informations d’identification d’accès complet pour les comptes des employés figurent probablement parmi les près de 4 millions de jeux d’informations d’identification compromis. Dans ce cas, des informations d’identification d’utilisateur compromises pourraient débloquer près de 10 millions de comptes en raison de la réutilisation généralisée des mots de passe. « 

Le problème sans fin de la réutilisation des mots de passe

Balbix de Sridhara vient de publier une nouvelle étude démontrant l’ampleur potentielle des dommages que cette application de rencontres avec une protection inappropriée pourrait causer.

L’étude, intitulée « Rapport d’utilisation des mots de passe 2020 », a révélé que 80% de toutes les violations sont causées par un mot de passe ou des informations d’identification faibles qui ont été couramment essayées lors d’une précédente violation. Il a également constaté que 99% des personnes peuvent réutiliser un mot de passe de compte professionnel et qu’en moyenne, le mot de passe typique est partagé entre 2,7 comptes. L’utilisateur moyen a huit mots de passe utilisés pour plus d’un compte, dont 7,5 partagés avec une sorte de compte professionnel.

L’étude sur la réutilisation des mots de passe révèle également que malgré des années d’avertissements, la principale cause de ces violations est un mot de passe système faible ou par défaut sur une sorte de périphérique de travail. Les entreprises ont toujours du mal à utiliser les informations d’identification mises en cache pour se connecter aux systèmes critiques, aux machines utilisateur privilégiées qui ont un accès direct aux serveurs principaux et aux violations de compte personnel qui permettent de réutiliser le mot de passe pour se connecter à un compte professionnel .

Et lorsque les utilisateurs changent leurs mots de passe, ils n’ont pas tendance à devenir très créatifs ou ambitieux. Au contraire, ils apportent de petites modifications à une sorte de « mot de passe principal » qui peut être facilement deviné ou essayé par un script automatique. Par exemple, les utilisateurs ne remplacent généralement certaines lettres du mot de passe que par des chiffres ou des symboles similaires. Comme l’a souligné l’étude, les attaques par pulvérisation de mot de passe et par relecture sont très susceptibles de bénéficier de ce type de schéma de réutilisation des mots de passe. Ils peuvent également utiliser des attaques par force brute sur des cibles qui ne sont pas protégées contre les tentatives d’accès répétées, une catégorie dans laquelle de nombreux «appareils intelligents» entrent.

Est-il temps de mettre fin aux mots de passe?

L’étude Balbix fait référence à la recherche de Google indiquant que seulement 26% des utilisateurs modifient leurs informations d’identification après avoir été informés d’une violation et qu’à l’heure actuelle, seulement 11% des comptes d’entreprise ont mis en place des connexions d’authentification multifacteur (MFA) .

Malgré de nombreuses années d’alertes médiatiques fortes et fréquentes, les attitudes des utilisateurs à l’égard de la réutilisation des mots de passe sont toujours inquiétantes. On pourrait raisonnablement déduire de ce qui ne s’améliorera jamais. C’est la position prise par Ben Goodman, vice-président senior de ForgeRock: « Dans l’ère numérique avancée d’aujourd’hui, nous nous dirigeons vers un avenir sans mot de passe. Avec la biométrie ou les notifications push, les organisations peuvent apporter la même expérience d’authentification authentique. d’utilisateurs sur leurs smartphones (avec des technologies telles que FaceID d’Apple ou le scanner d’empreintes digitales à ultrasons de Samsung) sur chaque point de contact numérique. Cela garantit non seulement la sécurité, mais offre également aux utilisateurs des expériences numériques sécurisées et sans frottement. supprimer le mot de passe pour de bon, les organisations ont juste besoin de faire le premier pas. « 

Le rapport Balbix n’est pas d’accord pour dire qu’il n’existe actuellement aucune solution parfaite pour remplacer complètement les mots de passe. Cependant, il existe de nombreux niveaux de sécurité supplémentaires qui peuvent être appliqués: gestionnaires de mots de passe, contrôles MFA secondaires et schémas de cryptage plus rigoureux pour ne nommer que quelques-unes des possibilités les plus pratiques et viables. Comme le souligne le CTO de Bitglass, Anurag Kahol, les entreprises doivent simplement s’attendre à investir davantage dans des mesures actives pour anticiper les faiblesses humaines prévisibles dans la chaîne de sécurité: «Les protections en temps réel sont désormais plus critiques que jamais en raison des réglementations en matière de confidentialité comme GDPR et CCPA. Pour éviter des incidents similaires et protéger les données clients, les organisations doivent tirer parti de solutions à multiples facettes qui appliquent le contrôle d’accès en temps réel, détectent les erreurs de configuration, chiffrent les données sensibles inactives, gèrent le partage de données avec des parties externes et empêchent perte de données. Ils doivent également vérifier leurs utilisateurs avec des outils tels que l’authentification multifacteur pour valider leur identité avant de leur accorder l’accès à leurs systèmes. « 

Les mots de passe divulgués à partir de la #databreach de l’application de rencontres MobiFriends ont été chiffrés à l’aide du hachage MD5 obsolète qui peut être facilement déchiffré. #respectdata Cliquez pour tweeter

Les dommages causés par la violation de cette application de rencontres auraient pu être considérablement atténués avec un seul niveau de sécurité simple: un meilleur système de hachage de mot de passe que MD5. Bien que cela aurait toujours été une violation massive des informations personnelles, cela n’aurait pas laissé la porte grande ouverte aux acteurs de la menace pour exploiter les vulnérabilités connues de réutilisation des mots de passe.

Vous avez envie d’effectuer une jolie rencontre sur internet, en vue d’une histoire sérieuse? Pour cela, important est de bien choisir votre portail la toile ou votre site de rencontre. Il existe des centaines cependant unique une poignée existera franchement efficace. Ceux-ci vous souhaitent trouver des célibataires qui tel que vous, voulez vous poser et aimer construire une histoire durable avec la bonne personne. Afin de vous guider dans votre choix, sur un établi un comparatif des bons sites de rencontres sérieux du moment.