Le premier assure un service de portefeuille de cryptomonnaie. Le second est fournisseur de bots à destination du jeu vidéo RuneEscape. Ces deux sites, respectivement Gatehub et EpicBot, auraient vu les données concernant plus de 2,2 millions de leurs comptes mises en ligne, publiquement, rapporte ArsTechnica.
Les informations, provenant du compte Twitter du chercheur en cybersécurité Troy Hunt, ne sont cependant pas confirmées par les deux enseignes, qui communiquent peu à ce sujet.
Nouveau soupçon de fuite pour Gatehub
Des deux entreprises, c'est GateHub qui aurait subi la fuite de données la plus conséquente : 1,4 million de comptes seraient concernés. La base de données aurait été postée publiquement sur un forum dédiée au piratage. D'une taille de 3,72 Go, elle contiendrait les informations d'authentification à deux facteurs, les phrases mnémotechniques ainsi que les données de hachage des portefeuilles.GateHub n'a pas confirmé l'information, mais la société avait déjà affirmé en juillet dernier qu'une personne avait eu accès aux données de plus de 18 000 comptes. Le tweet d'un internaute, posté le 14 novembre, crédibilise la possibilité d'une fuite récente. Il déclare en s'adressant à Troy Hunt : « Je viens de recevoir un message d'IDNotify d'Experian [ une société spécialisée dans la lutte contre la fraude, ndlr. ] selon lequel mes informations personnelles sur GateHub auraient été compromises sur le dark web. Si jamais vous avez des nouvelles au sujet d'une fuite ou d'un piratage sur GateHub... ».
Une faille sur le site des bots
Aucun message sur le site d'EpicBot n'évoque une fuite. Selon le chercheur Troy Hunt, celle-ci concernerait cette fois 800 000 adresses e-mail. Les informations auraient été postées sur le même forum et le même jour que celles de la fuite de Gatehub. Les informations communiquées comprendraient les noms des utilisateurs, leurs adresses IP ainsi que les mots de passe cryptés par l'algorithme Bcrypt. ArsTechnica précise que cet algorithme apporte un très haut niveau de sécurité, à la seule condition que celui-ci ait été correctement programmé. « Des erreurs de programmation sur le site web d'Ashley Madison ont rendu trivial le piratage de 11 des 36 millions de données de hachage Bcrypt en 2015 », rappelle le média.Les informations délivrées par les deux sites étant lapidaires, impossible de savoir si les 2,2 millions d'utilisateurs concernés ont bien reçu un message d'information. Pour les utilisateurs des deux plateformes, il est recommandé de changer son mot de passe et, le cas échéant, la phrase mnémotechnique du compte. Des tentatives de phishing pourraient apparaître sur les comptes dont les adresses mail sont compromises.
Source : ArsTechnica
