AdultFriendFinder : la communauté échangiste a subi un piratage catastrophique

AdultFriendFinder vient de subir un énorme piratage qui a compromis pratiquement tous les comptes des utilisateurs de la “plus grosse communauté échangiste au monde”. En tout, ce sont les données de 412 millions de comptes, mot de passe inclus, qui ont été dérobées. La plateforme qui en est à son 2e piratage en deux ans tente de rassurer en disant que les informations sur l’orientation sexuelle des utilisateurs n’ont pas été compromises.

Les utilisateurs de AdultFriendFinder vont être ravis. Ils peuvent être quasiment sûrs que les données associées à leur compte sont dans la nature. Les informations de 412 millions d’utilisateurs dont 339 millions de comptes AdultFriendFinder actifs, 62 millions de comptes de Cams.com, 7 millions de Penthouse.com, 1.4 millions de comptes Stripshow.com ainsi qu’un million d’autres comptes liés à d’autres services ont été dérobées.

Pour ne rien arranger, les politiques en matières de sécurité du site étaient plutôt faibles. Les hackers ont pu utiliser une faille de type Local File Inclusion. Ce type de faille autorise un attaquant à inclure des fichiers situés ailleurs sur le serveur en sortie d’une application donnée. Il est ainsi possible d’aspirer les bases de données et les mots de passe. Or les mots de passe étaient en clair ou encodés sous la forme d’un hash SH1.

Ces hash peu sécurisés sont très faciles à transformer en mot de passe avec un ordinateur conventionnel. Pour preuve, le site leakedsource à l’origine de l’information aurait pu décoder 99% de ces hash. Le site s’est d’ailleurs amusé à compiler un tableau avec la fréquence d’utilisation des mots de passe les moins sécurisés. Spoiler alert : c’est assez désolant. Mais on vous l’a reproduite juste pour le plaisir en fin d’article.

Le vol concerne également 15 millions de comptes censés être supprimés. On est quand même surpris par le peu de cas accordé à la sécurité des comptes utilisateurs sur ce site. Dans certains pays, ces informations pourraient causer de graves problèmes à certains utilisateurs. Mieux vaut donc faire très attention aux informations que l’on donne sur ces sites lors de l’inscription.

À lire : Piratage de Yahoo, au final, jusqu’à 3 milliards de comptes ont été compromis!

En particulier, rien ne vous oblige à donner votre vrai nom ou véritable adresse mail : il en existe des temporaires !

Rang	Mot de passe	Frequence
1	123456	900,420
2	12345	635,995
3	123456789	585,150
4	12345678	145,867
5	1234567890	133,414
6	1234567	112,956
7	password	101,046
8	qwerty	86,050
9	qwertyuiop	43,755
10	987654321	40,627
11	123123	39,614
12	111111	38,848
13	pussy	37,938
14	fuckme	36,008
15	asdfghjkl	35,021
16	000000	34,631
17	fuckyou	34,498
18	abc123	34,080
19	00000	33,796
20	11111	33,263
21	55555	31,524
22	54321	31,278
23	123452	30,111
24	654321	29,624
25	pwd1234	28,061
26	zxcvbnm	27,237
27	iloveyou	24,155
28	qwert	22,499
29	666666	21,629
30	asdfg	20,696
31	0123456789	20,485
32	azerty	19,700
33	0987654321	19,641
34	france	19,559
35	abcd1234	19,056
36	password1	18,677
37	fffff	18,461
38	112233	18,152
39	696969	18,150
40	123321	17,703
41	121212	17,302
42	asdfgh	16,400
43	football	16,080
44	12345678910	16,054
45	abcde	15,789
46	qwerty123	15,286
47	1qaz2wsx	14,885
48	123123123	14,691
49	pakistan	14,173
50	aaaaa	13,543
51	barcelona	13,170
52	fuckoff	12,977
53	bigdick	12,725
54	102030	12,564
55	asshole	12,512
56	7777777	12,280
57	baseball	12,213
58	qazwsx	12,181
59	liverpool	12,129
60	fucker	11,996
61	sexsex	11,956
62	fucking	11,924
63	987654	11,706
64	555555	11,680
65	aaaaaa	11,599
66	abcdef	11,599
67	daniel	11,541
68	0000000000	11,400
69	222222	11,271
70	carlos	11,256
71	superman	11,181
72	teamo	11,044
73	123654	11,032
74	159753	10,995
75	dragon	10,809