Article mis à jour le 6 mai 2020 avec la réponse de Cam4 (communiqué intégral) en bas de page
7 téraoctets de données extrêmement sensibles. C’est ce que le site de webcams coquines CAM4 a potentiellement laissé à la portée de pirates pendant plusieurs jours suite à une mauvaise manipulation.
Des noms, orientations sexuelles, registres de paiement, adresses email et transcriptions de conversations. Et ce ne sont là que quelques données qui ont été sagement laissées à la disposition de qui sait où chercher via un serveur ElasticSearch mal configuré.
On ignore si les données ont effectivement été récupérées
Tout le problème avec ce genre de cas est de savoir si les données laissées en clair ont été récupérées par des pirates ou non. Pour dire les choses autrement : la base de données de CAM4 n’a pas été sécurisée, et n’importe qui pouvait donc y accéder et se servir dans les précieuses informations qu’il contient. Mais quant à savoir si des personnes se sont effectivement engouffrées dans la brèche, impossible pour le moment d'en être certain.
Mais d’après Wired, qui relaie l’information aujourd’hui, la faille a été découverte par Safety Detectives le 16 mars dernier. CAM4 et sa maison mère Granity Entertainment auraient par la suite déconnecté les serveurs concernés « dans la demi-heure après avoir été contactés par les chercheurs ». Aussi, on ignore dans le détail combien de temps les données sont effectivement restées en clair, à la portée de tous.
4,2 millions d’utilisateurs français concernés
D’après l’enquête de Safety Detectives, l’essentiel des données exposées concerne les utilisateurs américains du site. À hauteur de 6,6 millions d’individus, plus exactement — spectateurs et performeurs confondus. S’en suivent 5,4 millions d’utilisateurs en provenance du Brésil, 4,9 millions d’Italie et 4,2 millions localisés en France.
En plus des données très sensibles dont nous parlions en introduction, la base de données de CAM4 laissait également en clair le pays d’origine, la date d’inscription au site, des informations sur l’appareil utilisé, des préférences de langage, des noms d’utilisateurs, des mots de passe hashés et même la correspondance entre l’utilisateur et CAM4.
La nature délicate des données potentiellement récupérées laisse imaginer que des hackers pourraient chercher à faire chanter certains utilisateurs en les menaçant avec leur historique de conversation sur le site. Contacté par Wired, CAM4 n’a pour le moment pas communiqué sur cette affaire.
Source : Wired
Cam4 minimise l'étendue des fuites
Communiqué intégral émis le 06 mai 2020
Hier (lundi 4 mai), plusieurs articles ont été publiés dans plusieurs médias rapportant qu'un peu moins de 11 millions de fichiers CAM4 avaient été exposés en raison d'une faille de sécurité. CAM4 avait été initialement informé de cette violation par http://SafetyDetectives.com, une communauté en ligne d'experts en sécurité qui blogguent sur les logiciels antivirus et les événements et la sécurité des données.
A notre demande des spécialistes de sécurité informatique ont été déployés immédiatement pour une enquête plus approfondie, et l'équipe a conclu, sans aucun doute, qu'absolument aucune information personnellement identifiable, y compris les noms, adresses, e-mails, adresses IP ou données financières, n'a été exposée ou consultée de manière inappropriée par quiconque en dehors de la société SafetyDetectives et les Enquêteurs de la société CAM4.
En réponse aux très gros chiffres rapportés dans les médias, il est important de noter que les chiffres exacts sont bien inférieurs. Après notre enquête interne, l'équipe de sécurité de CAM4 a déterminé que les données personnelles appartenant seulement à 93 personnes, ont été consulté par SafetyDetectives.
CAM4 a immédiatement informé tous les utilisateurs, qui ont été actifs pendant les 30 jours après cet événement, des mesures qui ont été prises pour renforcer et sécuriser leurs comptes.
En résumé, il n'y a eu aucune faille de sécurité entraînant la perte de données personnelles d’aucun serveur CAM4 dans le monde. L'enquête interne a conclu qu'aucune connexion aux serveurs CAM4 n'a été établie après la défaillance du pare-feu qui a permis à SafetyDetectives d’accéder au site.
CAM4 prend la sécurité des données et la sécurité de ses diffuseurs et de son public très au sérieux et dispose d'une équipe de professionnels triés sur le volet qui surveillent l'intégrité du site à chaque seconde de la journée. CAM4 continuera de faire preuve de diligence en ce qui concerne le suivi et répond chaque jour aux questions pour apaiser les inquiétudes du public et de la communauté CAM4.
Créé en 2007, Cam4 est le premier site mondial de webcam amateur avec près de 18 M d’utilisateurs par jour et plus de 17.000 shows quotidiens.
