Violation massive de données du plus grand service d’escorte du Brésil

Le chercheur en cybersécurité, Jeremiah Fowler à découvert une faille dans le service d’escorte et dans l’application Fatal Model. Deux bases de données non protégées par mot de passe contenant plus de 18 millions d’enregistrements. Elles comportaient les données personnelles de clients et d’escortes, adresses électroniques… aussi la base de données de journalisation avec environ 14,7 millions d’enregistrements, d’un poids d’approximativement 19,17 Go, jusqu’au stockage en cloud chez Amazon Web Service (AWS) qui incluait plus de 3,5 millions de fichiers, soit 700 Go.

La fuite possible de ces données aurait pu, si ce n’est déjà fait, permettre de lancer des opérations de phishing, ou toute autre action malveillante. Les cybercriminels pourraient lancer une campagne d’extorsion par chantage, en menaçant d’exposer publiquement des informations sensibles ou privées. Les escortes comme les clients sont potentiellement des cibles. Les bases de données contenaient des adresses électroniques, des noms, des numéros d’identification d’utilisateur, etc.

La prostitution est légale au Brésil depuis 2002. Elle est officiellement reconnue comme métier par le ministère du Travail et de l’Emploi. Mais la fuite de données, comme toute fuite peut présenter des risques importants concernant la vie privée des professionnelles et des clients. Les escortes et les clients supposent un certain niveau de confidentialité lorsqu’ils utilisent l’application et les services web de Fatal Models. Toute violation de données exposant des informations personnelles, des images ou d’autres détails pourrait potentiellement conduire à un harcèlement ou à une atteinte à la réputation.

Le site Fatal Model

Sur le site en question, créé en 2016, les dirigeants indiquent chercher à « autonomiser les professionnels du marché adulte, de briser les tabous sur la profession et d’agir comme un facilitateur pour contacter les clients par le biais de la technologie. » Selon la plateforme, elle a enregistré en 2020 plus de 100 millions d’utilisateurs et 275 millions d’accès.

Le contenu de la base de données est :

• La base de données de journalisation contenait 14 669 275 enregistrements, pour 19,17 Go.
• Sur le cloud AWS plus de 3 507 180 fichiers pour 700 Go.
• Le compte AWS avait un dossier nommé « 2022 ». Il contenait 35 400 comptes d’escorte avec des images et des vidéos utilisées pour la vérification, la publicité ou les offres de services.
• Dans un autre dossier nommé « 2023 », environ 33 900 comptes d’escorte avec des images de vérification, des photos, des vidéos…

Dans la base de données existe des fichiers JavaScript explique Jeremiah Fowler qui peuvent inclure côté client des informations sensibles. Elles sont des clés API, des jetons d’authentification, qui peuvent permettre à des personnes malveillantes d’avoir accès à des systèmes ou à des ressources non autorisées. Mais le site use d’une technologie avancée pour vérifier l’identité des escortes et des clients. Son but est de protéger et de s’assurer qu’il s’agit de personnes réelles.

À travers des enregistrements, des images et des coordonnées exposés dans la base de données, cela explique que « les fichiers indiquent que les utilisateurs ont été vérifiés par une société de logiciels biométriques, spécialisée dans les technologies de reconnaissance qui authentifient les individus sur la base de leurs traits faciaux » écrit Jeremiah Fowler. Toute action entraîne une réaction. Toute fuite de données engendre ou peut engendrer des expositions de vulnérabilités connues et les exploiter. Selon le profil des utilisateurs, des pratiques peu sûres pourrait compromettre des systèmes ou de lancer de futures attaques dans de petites, moyennes ou grandes entreprises en croisant les données qui fuitent suite aux attaques par ransomwares.