LiveJournal: les données de clients vendues sur le Dark Web

Une base de données contenant les informations d’identification de plus de 26 millions de comptes LiveJournal a été divulguée en ligne et est vendue sur le Dark Web et les forums de pirates informatiques.

Les données contenues dans les fichiers semblent provenir d’un incident de 2014 au cours duquel 33 millions de comptes ont été piratés, selon un rapport publié. Bien que des rumeurs sur cette brèche existent depuis quelques années – et il y a un débat sur le moment où elle s’est réellement produite – l’incident n’a jamais été officiellement confirmé par LiveJournal.

Les pirates, cependant, semblent avoir été occupés à utiliser et à vendre des données de la brèche pour lancer des attaques, les partageant finalement avec Troy Hunt de Have I Been Pwned. Le service de notification de brèche de données a ajouté un listing sur la brèche de LiveJournal.

livejournal

Le listing classe la brèche comme s’étant produite en janvier 2017, compromettant 26 372 781 comptes d’utilisateurs; les pirates ont dérobé des adresses e-mail, des mots de passe et des noms d’utilisateur des membres du service de blogs. Une source qui a demandé que les informations soient attribuées à nano@databases[dot]pw a remis les informations à Hunt.

“Une archive des données a ensuite été partagée sur un forum de piratage populaire en mai 2020 et redistribuée largement”.

Pourtant, d’autres preuves indiquent que la brèche s’est produite plus tôt, selon un autre rapport. We Leak Info, un service de suivi des fuites de données aujourd’hui disparu, a tweeté en juillet 2019 à propos d’une fuite de 33 millions de comptes LiveJournal qui se serait produite en 2014.

Quelle que soit la chronologie, il semble que LiveJournal ait été compromis et que les informations sur les utilisateurs soient entre les mains d’individus malveillant depuis un certain temps, qui ont déjà agi sur ces informations avec différents types d’attaques.

livejournal

Le listing d’Have I Been Pawned cite «plusieurs rapports d’abus d’informations d’identification» contre une société appelée Dreamwidth, un spin-off de LiveJournal basée sur son code de base d’origine avec un nombre important d’utilisateurs en commun.

Alors que Dreamwidth n’a jamais confirmé les attaques, un utilisateur de Twitter appelé “definitely not a huge award-winning fanfic author” qui prétend être un co-fondateur du site a tweeté en réponse à Hunt que le site a certainement vu une légère augmentation des attaques de bourrage d’informations d’identification.

Le tweet semble être soutenu par un article de blog du cofondateur de Dreamwidth et ancien membre du personnel de LiveJournal, Mark Smith, qui informe les utilisateurs d’une mise à jour du mécanisme d’authentification du site, ils se sont débarrassés des protocoles LiveJournal obsolètes et non sécurisés et sont passés à une infrastructure Web plus sécurisée.

«Nous apportons des modifications à la façon dont nous procédons pour l’authentification (comment vous vous connectez) qui vont malheureusement casser un certain nombre de clients plus anciens que vous pourriez utiliser pour communiquer avec Dreamwidth», a-t-il écrit, «C’est très malheureux, mais nous pensons que les compromis dans l’amélioration de la sécurité en valent la peine. »

LiveJournal continue de nier la brèche

La publication ne reconnait pas cependant que des attaques se sont produites sur la base de données divulguées à partir d’une brèche de LiveJournal.

“Nous ne croyons pas et n’avons aucune preuve que notre base de données ait été divulguée ou consultée autrement que par les trois membres du personnel qui entretiennent l’infrastructure de Dreamwidth”, a écrit Smith. “Nous apportons ces changements non pas à cause d’une motivation extrinsèque mais parce que nous pensons que c’est la bonne chose à faire.”

Pendant ce temps, des preuves antérieures datant d’il y a quelques années montrent que les pirates utilisaient les données LiveJournal pour d’autres escroqueries.

Un utilisateur de Twitter qui a répondu à un tweet de Hunt en 2018 – alors que des rumeurs circulaient sur une potentielle brèche non confirmée de LiveJournal – a déclaré que des pirates informatiques avaient tenté de lui extorquer de l’argent en utilisant les données de la brèche. L’ingénieur logiciel indépendant Alexander Mikhailian a déclaré que son mot de passe LiveJournal avait été divulgué et qu’il avait reçu une lettre d’extorsion “lui demandant de transférer 800 $ [en] bitcoins ou autre”.

Si cet article vous a plu, jetez un œil à notre article précédent.