Les utilisateurs de Quidd sont avertis que 4 millions de détails de connexion ont été divulgués sur un forum souterrain
Comme toute autre entreprise, l'échange de données volées est influencé par un certain nombre de facteurs différents. De nombreuses personnes différentes composent la chaîne d'approvisionnement, et chacun a un rôle spécifique. La nature des données et leur source déterminent le niveau de la demande et, sur cette base, le prix demandé est formé. Une récente violation de données découverte par RiskBased Security et signalée par ZDNet peut vous donner un assez bon aperçu du fonctionnement des choses.
Table of Contents
Quidd a subi une violation de données
La découverte a été faite le 12 mars lorsque des chercheurs de RiskBased Security ont repéré un message sur un forum de piratage d'un utilisateur surnommé ProTag. ProTag proposait une base de données contenant les adresses e-mail, les noms d'utilisateur et les mots de passe hachés d'un peu moins de 4 millions d'utilisateurs d'une plateforme de trading d'objets de collection numériques appelée Quidd.
Selon l'enquête de ZDNet, ProTag est le pirate informatique qui a franchi les défenses de Quidd et volé les données en 2019. Le message du 12 mars était inhabituel car normalement, ce n'est pas le pirate informatique qui distribue les données. Habituellement, c'est le travail des soi-disant commerçants qui obtiennent également une part des bénéfices chaque fois que les cybercriminels et les fraudeurs en herbe décident de débourser certains noms d'utilisateur et mots de passe volés.
Un tel commerçant a déclaré à ZDNet que la base de données Quidd avait été échangée bien avant que ProTag ne la publie sur le forum de piratage. Apparemment, les données changeaient de mains dans les transactions négociées en privé. On ignore si cela a quelque chose à voir avec cela, mais le message de ProTag n'est pas resté en ligne pendant longtemps. Peu de temps après que RiskBased Security l'a vu, il a été supprimé.
Fin mars, l'annonce a été de nouveau publiée sur le même forum par une personne différente, et depuis, la base de données a été partagée et partagée à plusieurs reprises. Nous devons noter que nous parlons d'un forum accessible au public, et nous devons également souligner que les détails du compte Quidd sont offerts gratuitement, ce qui signifie que toute personne disposant d'une connexion Internet peut lancer son navigateur préféré et les télécharger. Mais le feront-ils?
Un algorithme de hachage fort rend la vie des fraudeurs plus difficile
En cas de fuite de mot de passe, l'une des premières choses que nous devons apprendre est de savoir comment les informations de connexion ont été stockées. Malgré les innombrables avertissements, certains fournisseurs de services continuent de faire des erreurs de stockage de mot de passe de base, et en conséquence, les personnes qui achètent les informations de connexion sur le dark web peuvent facilement compromettre un grand nombre de comptes et peuvent mener leurs escroqueries à travers eux. Heureusement, Quidd n'est pas l'un de ces fournisseurs.
Les mots de passe ont été hachés avec bcrypt - l'un des algorithmes de hachage les plus difficiles à casser. Transformer les hachages bcrypt en mots de passe en texte clair est un processus extrêmement gourmand en temps et en ressources, et souvent, les cybercriminels décident que l'effort n'en vaut pas la peine. Pas dans ce cas, cependant.
Comme l'a souligné RiskBased Security, les utilisateurs de Quidd échangent des objets de collection numériques pour des millions de dollars, et apparemment, les escrocs y voient une incitation suffisamment importante. Beaucoup d'entre eux ont essayé de casser les hachages, et il semble que certains aient déjà réussi. L'une des captures d'écran de ZDNet montre qu'un pirate informatique propose environ 137000 paires de noms d'utilisateur et de mots de passe Quidd en texte clair, et selon RiskBased Security, un autre commerçant prétend avoir craqué plus d'un million de hachages. Bien sûr, comme ils ont eu la peine de déchiffrer les données, ces vendeurs ne les donneront pas gratuitement.
Quidd garde toujours le silence
Maintenant que les données sont dans le domaine public, Quidd ne peut pas faire grand-chose pour empêcher les cybercriminels de les partager entre eux. Il peut cependant informer ses utilisateurs de l'incident et prendre des mesures pour en atténuer les conséquences potentielles. Pour une raison quelconque, il semble ne faire aucune de ces choses.
Il n'y a pas de déclaration officielle de la plateforme et les utilisateurs potentiellement affectés ne reçoivent aucune notification. RiskBased Security et ZDNet ont tous deux écrit à Quidd avec des demandes de commentaires, mais la plateforme a préféré ne pas répondre. Étant donné que certaines informations d'identification de connexion sont échangées en texte brut, une réinitialisation forcée du mot de passe pour les utilisateurs concernés semble être un bon appel, mais Quidd ne l'a pas fait non plus.
Comme vous pouvez le voir, même un stockage correct des mots de passe ne suffit pas à arrêter parfois des cybercriminels déterminés, ce qui signifie que le comportement adéquat à la suite d'une violation de données devient encore plus important pour les fournisseurs de services concernés. Malheureusement, il semble que les responsables de Quidd ne comprennent pas cela.
