L’information a été repérée par ZDNet, un hacker a piraté une base de données du réseau social de microbloging Weibo. Ce dernier a récupéré des informations à propos de 538 millions d’utilisateurs, probablement l’intégralité des personnes inscrites sur l’équivalent chinois à Twitter (en 2019 Weibo comptait 446 millions d’abonnés actifs mensuels).
172 millions de numéros de téléphone récupérés
Sur le darkweb est apparu récemment une offre intéressante pour les pirates informatiques de tout poil, pour 1799 yuans (environ 236 euros) seulement, la base de données utilisateurs de Weibo. Dedans on y trouve le vrai nom de 538 millions d’utilisateurs, leur nom d’usage sur le réseau, leur sexe, le lieu où ils se trouvent et pour 172 millions d’entre eux, un numéro de téléphone.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Le prix relativement modique de la base de données s’explique par l’absence des mots de passe. La fiabilité des informations semble en tout cas attestée, le pirate a publié quelques informations pour le prouver. L’exactitude des données a été confirmée par les utilisateurs concernés.
L’entreprise cherche de son côté à minimiser l’ampleur du piratage, quitte à avoir une communication quelque peu confuse. Weibo a expliqué à un média chinois repris par ZDNet que les données avaient été obtenues fin 2018 alors que de nombreux utilisateurs téléchargeaient massivement leurs contacts et numéros de téléphone.
Cette réponse pose plusieurs problèmes, quid des informations relatives au sexe, au lieu, aux noms d’utilisateurs ? Par ailleurs le hacker, pour digne de confiance qu’il soit, prétend avoir opéré mi-2019.
L’enquête est en cours
Des experts en sécurités estiment plus précisément que le vol ne peut s’être déroulé comme Weibo le prétend. Les données vendues viennent de l’exploitation de la base SQL, alors que le réseau social prétend qu’elle a été obtenue en comparant les contacts avec son API.
Weibo a tenu à rassurer ses utilisateurs en expliquant qu’elle ne stockait pas les mots de passe en clair, sur ce point-là, au moins, l’information semble exacte. L’entreprise a porté plainte et une enquête policière est en cours. Vu la situation particulière d’internet en Chine, drastiquement contrôlé, il est tout à fait possible que l’enquête aboutisse à des résultats.