La violation des données a été signalée par Have I Been Pwned, une application qui avertit les utilisateurs que leurs données personnelles ont été piratées.
Le service d'alerte sur les violations de données Have I Been Pwned (HIBP) a révélé une violation de données majeure concernant SurveyLama, une plateforme en ligne qui récompense les utilisateurs pour leurs réponses aux sondages, à l'image de Lifepoints. Cette violation, survenue en février 2024, a exposé les données sensibles de 4,4 millions d'utilisateurs.
Un piratage en bonne et due forme
La cyberattaque a été signalée pour la première fois par Troy Hunt, le créateur de HIBP. Les informations exposées comprennent des dates de naissance, des adresses mail, des adresses IP, des noms complets, des mots de passe, des numéros de téléphone et des adresses physiques. Troy Hunt a confirmé l'authenticité des données après avoir été informé de la violation par un utilisateur concerné.
Nous exposons toutes et tous nos données personnelles, ne serait-ce qu'en navigant sur Internet. Mais quelles informations précisément jetons-nous en pâture aux hackers ? Clubic a fait le point pour vous dans un dossier.
SurveyLama, propriété de la société française Globe Media, a été contactée par HIBP et a confirmé l'incident de sécurité. Les porte-parole de la plateforme ont déclaré avoir déjà informé les utilisateurs concernés par e-mail. L'ensemble de données, qui contient des informations sur 4 426 879 comptes, a été ajouté à HIBP, ce qui signifie que les utilisateurs touchés devraient déjà avoir reçu une notification par e-mail.
Les utilisateurs invités à changer leur mot de passe
SurveyLama a déclaré que les mots de passe exposés étaient stockés sous forme de hachages salés SHA-1, bcrypt ou argon2, ce qui signifie qu'ils ne sont pas directement utilisables en texte clair. Cependant, bien que le hachage ajoute une certaine résistance au piratage, il n'est pas à l'abri du forçage brutal. Les mots de passe protégés par du SHA-1 salé, qui comporte des vulnérabilités connues, sont particulièrement sensibles aux attaques par collision. En effet, SHA-1 est une fonction de hachage spécifique. Le salage est ajouté afin que des mots de passe identiques ne correspondent pas toujours à une seule valeur de hachage.
En conséquence, les titulaires d'un compte SurveyLama sont invités à réinitialiser immédiatement leurs mots de passe sur le service et sur d'autres plateformes où ils pourraient utiliser les mêmes informations d'identification. En effet, de trop nombreux utilisateurs ont la fâcheuse manie de s'identifier sur différents sites avec le même mot de passe qu'ils mémorisent facilement. Clubic vous montre comment définir un mot de passe fort afin de limiter le piratage de vos données personnelles.
Enfin, et c'est un moindre mal pour les utilisateurs dont les données personnelles ont été siphonnées, Troy Hunt a déclaré à Bleeping Computer qu'il ne savait pas si les données compromises avaient été publiées publiquement, ce qui limite actuellement l'exposition.
Sources : Bleeping Computer, Have I Been Pwned
