Les dossiers de 17 millions d’utilisateur du site CouchSurfing circulent sur les forums de hackers.

Pour 700 euros, un revendeur de données qui s’est entretenu avec ZDNet propose une base de données qui contient l’identité, l’identifiant, l’adresse email et les réglages de 17 millions de comptes CouchSurfing.

Ce service en ligne met en relation des voyageurs avec des hôtes prêts à offrir un lit ou un canapé pour quelques nuits. Sur son site, il prétend avoir 14 millions d’utilisateurs, un nombre inférieur à celui de la base de données volée. Plusieurs hypothèses peuvent expliquer ce décalage : les chiffres pourraient ne pas être à jour sur le site ; la base volée pourrait contenir des données de tests ; ou la fuite comprendrait les données d’utilisateurs inactifs ou dont les comptes ont été supprimés.

Loud.jpg

Avec 17 millions d’adresses email, les cybercriminels peuvent lancer d’importantes vagues de phishing. // Source : Louise Audry pour Numerama

D’après ZDNet, les données ont d’abord circulé sur le réseau Telegram au début du mois de juillet 2020, avant d’atterrir sur les forums de hackers plus populaires. Il est possible qu’elles soient déjà exploitées, et que plusieurs organisations aient déjà mis la main dessus. Mais d’après les informations dont nous disposons aujourd’hui, la fuite ne représente pas un danger important.

Qu’est-ce que je risque si j’utilise CouchSurfing ?

Vu l’ampleur de la fuite, CouchSurfing devrait avertir les utilisateurs et utilisatrices concernés dans les prochains jours. L’entreprise travaille en ce moment avec une entreprise spécialisée et avec les autorités pour enquêter sur le sujet. Elle doit à la fois régler le problème qui a entraîné la fuite et organiser sa communication de crise.

  • La fuite contient votre identité et votre email. Des cybercriminels vont les acheter pour vous inclure dans des listes de spams. Vous serez probablement visés par des campagnes de phishing et recevrez des emails malveillants, mais si vous faites un minimum attention, ce sera sans conséquence. Il est possible que la grande majorité de ces messages soient bloqués par le service d’email que vous utilisez.
  • La fuite ne semble contenir ni votre mot de passe ni votre historique d’utilisateur, les deux données les plus intéressantes de votre compte CouchSurfing. Mais on ne peut en être sûr tant que l’entreprise n’a pas communiqué sur le sujet. Vous pouvez donc changer votre mot de passe CouchSurfing par précaution, ainsi que sur tous les sites où vous en utilisez un similaire.

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.