Base de données utilisateurs de Condé Nast compromise, Ars non touché
Plus tôt ce mois-ci, un pirate informatique nommé Lovely a affirmé avoir compromis une base de données utilisateurs de Condé Nast et publié une liste de plus de 2,3 millions de dossiers d’utilisateurs de notre publication sœur WIRED. Les documents publiés contiennent des informations démographiques (nom, email, adresse, téléphone, etc.), mais aucun mot de passe.
Le pirate affirme également qu’il publiera 40 millions de dossiers supplémentaires pour d’autres propriétés de Condé Nast, y compris nos autres publications sœurs Vogue, The New Yorker, Vanity Fair, et d’autres. Point essentiel pour nos lecteurs, Ars Technica n’a pas été touché car nous fonctionnons sur notre propre infrastructure technologique sur mesure.
Le pirate a déclaré avoir exhorté Condé Nast à corriger des vulnérabilités en vain. « Condé Nast ne se soucie pas de la sécurité des données de ses utilisateurs », a-t-il écrit. « Il nous a fallu un mois entier pour les convaincre de corriger les vulnérabilités sur leurs sites web. Nous divulguerons davantage de données de leurs utilisateurs (40 millions et plus) au cours des prochaines semaines. Profitez-en ! »
On ne sait pas à quel point le motif était vraiment altruiste. DataBreaches.Net affirme que Lovely les a induits en erreur en leur faisant croire qu’il essayait d’aider à corriger des vulnérabilités, alors qu’en réalité, il semblait que ce pirate était un « cybercriminel » cherchant une rançon. « Quant à « Lovely », il m’a manipulé. Condé Nast ne devrait jamais lui verser un centime, et personne d’autre ne devrait jamais le faire, car sa parole ne peut clairement pas être digne de confiance », ont-ils écrit.
Condé Nast n’a pas publié de déclaration, et nous n’avons pas été informés en interne du piratage (ce qui n’est pas surprenant, puisque Ars n’est pas touché).
Le site InfoStealers de Hudon Rock propose un excellent résumé de ce qui a été exposé.
19
