Les mots de passe piratés de près de 7,5 millions de membres DatPiff sont vendus en ligne et les utilisateurs peuvent vérifier s’ils font partie de la violation de données via le service de notification Have I Been Pwned.
DatPiff est un service d’hébergement de mixtape populaire utilisé par plus de 15 millions d’utilisateurs, permettant aux utilisateurs non enregistrés de télécharger ou de télécharger des échantillons gratuitement.
La violation de données DatPiff
On ne sait pas quand la violation de données s’est produite, mais la base de données DatPiff a d’abord été vendue en privé, puis publiquement sur des forums de piratage en juillet 2020.
La base de données DatPiff volée contient 7 476 940 enregistrements de membres, y compris l’adresse e-mail, le mot de passe, le nom d’utilisateur et la question de sécurité d’un utilisateur.
Le 30 novembre, un autre collecteur de violations de données a recommencé à vendre la base de données sur le même forum de piratage. Cependant, cette fois, les mots de passe ont été hachés pour inclure les mots de passe en texte brut ainsi que l’adresse e-mail.
Les mots de passe pourraient être craqués car DatPiff les a hachés avec l’algorithme MD5, une ancienne fonction de hachage cryptographique (1992) considérée comme obsolète et non sécurisée, en particulier pour sécuriser les mots de passe.
Pour déchiffrer les mots de passe MD5, les pirates peuvent comparer les hachages aux listes de mots MD5 connues ou utiliser des outils de craquage pour forcer les mots de passe par force brute.
EZpublish-france.fr a été informé en décembre qu’un acteur malveillant avait piraté DatPiff à l’aide d’un scanner de vulnérabilité de site Web qui lui permettait d’accéder au serveur.
Cependant, on pense que l’acteur de la menace n’a pas violé le site Web DatPiff mais plutôt un serveur avec une ancienne sauvegarde de base de données
Que doivent faire les utilisateurs de DatPiff ?
Bien que cette base de données soit très ancienne, si vous avez un compte sur DatPiff, il est fortement conseillé de réinitialiser votre mot de passe et d’en utiliser un unique et fort.
Ceux qui utilisent le même mot de passe sur d’autres sites Web doivent le changer pour éviter d’être victimes d’attaques de bourrage d’informations d’identification.
Les membres DatPiff peuvent rechercher leurs adresses e-mail sur le Ai-je été condamné services de notification de violation de données pour voir s’ils font partie des plus de 7 millions d’utilisateurs touchés par cette violation.
Au moment d’écrire ces lignes, DatPiff n’a pas publié de déclaration sur cet incident de violation de données, n’a envoyé aucune notification aux utilisateurs et n’a pas forcé la réinitialisation du mot de passe.
EZpublish-france.fr a contacté la plate-forme et nous mettrons à jour cet article dès que nous recevrons un commentaire de leur part.