Mega : brèche sécuritaire concernant environ 773 millions d'adresses mail (depuis 2008, selon les cas) !

L'expert sécuritaire Troy Hunt vient à nouveau de soulever un lièvre pour ne pas dire un poids-lourd du genre : le site d’hébergement Mega recelait pas moins de 87 Go de données sensibles en ligne, mettant à nue mails et mots de passe d'utilisateurs de tout horizon...

 

 

Comme détaillé par Troy Hunt, l'alerte lui a été transmise par un certain nombre de personne qui ont remarqué le fichier douteux sur Mega (ex-Megaupload) - qui n'est plus, à l'heure actuelle - une "collection #1" (nommée officieusement pour les besoins de l'explication par l'analyste sécuritaire) de 87 Go comprenant un listing à n'en plus finir, donc, d'adresses mail et de mots de passe associés. Ces combinaisons venant de multiples sites auraient permis de faire une attaque appelée credential stuffing (l'attaque des robots, des bots) à partir de ces identifiants et mots de passe dérobés pour pointer et matcher chaque compte de manière automatisée, via l'entremise de bots. Les finalités malveillantes peuvent être multiples : du spam au changement d'informations dans un compte jusqu'à l'utilisation d'un moyen de paiement voire un détournement de ce dernier.

 

Au final, ledit fichier contenait 2, 6 milliards environ (2 692 818 238) d'entrées (de comptes incriminés, en combinaisons) soit, en combinaisons uniques, environ 1,16 milliards (1 160 253 228) ; et, parmi ces combinaisons uniques quelques 772 904 991 millions d'adresses mail et 21 222 975 mots de passe. Dans l'urgence, une liste non-exhaustive de sites a été produite par Troy Hunt et regroupe un peu plus de 2 000 sites concernés.

Principe de précaution oblige, depuis le site Have I Been Pwned, vous pouvez tester sans tarder - si ce n'est déjà fait ! - votre ou vos adresse(s) mail. Selon le message et l'importance des données reliée à chaque compte-mail, procédez sans tarder à un changement de mot de passe FORT ou COMPLEXE : il est vivement conseillé d'utiliser un générateur de mot de passe (type KeePass, par exemple) ou bien, si vous avez des doutes / interrogations, n'hésitez pas à demander conseils et recommandations auprès de la communauté de dépannage de l'association SOSOrdi.net, en soumettant votre question... A veiller !

 

Source : Troy Hunt - 17 Janvier 2018 - Brèche sécuritaire Mega : 773 M d'adresses mail concernées.