International

Violation massive de données du plus grand service d’escorte du Brésil

Le chercheur en cybersécurité, Jeremiah Fowler à découvert une faille dans le service d’escorte et dans l’application Fatal Model. Deux bases de données non protégées par mot de passe contenant plus de 18 millions d’enregistrements. Elles comportaient les données personnelles de clients et d’escortes, adresses électroniques… aussi la base de données de journalisation avec environ 14,7 millions d’enregistrements, d’un poids d’approximativement 19,17 Go, jusqu’au stockage en cloud chez Amazon Web Service (AWS) qui incluait plus de 3,5 millions de fichiers, soit 700 Go.

La fuite possible de ces données aurait pu, si ce n’est déjà fait, permettre de lancer des opérations de phishing, ou toute autre action malveillante. Les cybercriminels pourraient lancer une campagne d’extorsion par chantage, en menaçant d’exposer publiquement des informations sensibles ou privées. Les escortes comme les clients sont potentiellement des cibles. Les bases de données contenaient des adresses électroniques, des noms, des numéros d’identification d’utilisateur, etc.

Dans cette capture d’écran, apparaissent l’adresse ce courriel, le numéro de téléphone, les données de l’appareil de connexion. Il existe aussi des fichiers d’application, d’installation et de développement, des jetons d’accès administrateur et des informations sur les appareils des utilisateurs. (Crédits : Jeremiah Fowler/WebSitePlanet)

La prostitution est légale au Brésil depuis 2002. Elle est officiellement reconnue comme métier par le ministère du Travail et de l’Emploi. Mais la fuite de données, comme toute fuite peut présenter des risques importants concernant la vie privée des professionnelles et des clients. Les escortes et les clients supposent un certain niveau de confidentialité lorsqu’ils utilisent l’application et les services web de Fatal Models. Toute violation de données exposant des informations personnelles, des images ou d’autres détails pourrait potentiellement conduire à un harcèlement ou à une atteinte à la réputation.

Le site Fatal Model

Sur le site en question, créé en 2016, les dirigeants indiquent chercher à « autonomiser les professionnels du marché adulte, de briser les tabous sur la profession et d’agir comme un facilitateur pour contacter les clients par le biais de la technologie. » Selon la plateforme, elle a enregistré en 2020 plus de 100 millions d’utilisateurs et 275 millions d’accès.

Les détails de l’appareil de connexion, dans l’exemple un smartphone de chez Apple, avec le modèle vu, la version de l’operating system (OS)… sont contenus dans les enregistrements de journalisation. Cela représente 14,7 millions d’enregistrements pour un poids d’environ 19,17 Go. (Crédits : Jeremiah Fowler/WebSitePlanete)

Le contenu de la base de données est :

  • La base de données de journalisation contenait 14 669 275 enregistrements, pour 19,17 Go.
  • Sur le cloud AWS plus de 3 507 180 fichiers pour 700 Go.
  • Le compte AWS avait un dossier nommé « 2022 ». Il contenait 35 400 comptes d’escorte avec des images et des vidéos utilisées pour la vérification, la publicité ou les offres de services.
  • Dans un autre dossier nommé « 2023 », environ 33 900 comptes d’escorte avec des images de vérification, des photos, des vidéos…
La prostitution est telle au Brésil que le club de foot « Esporte Clube Vitoria » a signé un partenariat avec le site « Fatal Model ». Le logo du site apparaîtra sur les manches du maillot du club, sur les panneaux publicitaires et les billets vendus. (Crédits : Fluorite Videos/Ivan Verrengia/MKTEsportivo)

Dans la base de données existe des fichiers JavaScript explique Jeremiah Fowler qui peuvent inclure côté client des informations sensibles. Elles sont des clés API, des jetons d’authentification, qui peuvent permettre à des personnes malveillantes d’avoir accès à des systèmes ou à des ressources non autorisées. Mais le site use d’une technologie avancée pour vérifier l’identité des escortes et des clients. Son but est de protéger et de s’assurer qu’il s’agit de personnes réelles.

Donc dans chaque fuite de données, ou de suspicion, comme pour Pôle Emploi en France, il est nécessaire de surveiller vos comptes importants, de mettre à jour vos mots de passe, et attention aux tentatives de phishing. (Crédits : capture d’écran/Pôle Emploi)

À travers des enregistrements, des images et des coordonnées exposés dans la base de données, cela explique que « les fichiers indiquent que les utilisateurs ont été vérifiés par une société de logiciels biométriques, spécialisée dans les technologies de reconnaissance qui authentifient les individus sur la base de leurs traits faciaux » écrit Jeremiah Fowler. Toute action entraîne une réaction. Toute fuite de données engendre ou peut engendrer des expositions de vulnérabilités connues et les exploiter. Selon le profil des utilisateurs, des pratiques peu sûres pourrait compromettre des systèmes ou de lancer de futures attaques dans de petites, moyennes ou grandes entreprises en croisant les données qui fuitent suite aux attaques par ransomwares.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *