BFM Business

6 millions de comptes Instagram piratés sont bradés sur le Darknet

Un pirate dit avoir volé à Instagram plus de 6 millions de données personnelles d’utilisateurs. Il les vend pour 10 dollars l'unité sur le Darknet.

Un pirate dit avoir volé à Instagram plus de 6 millions de données personnelles d’utilisateurs. Il les vend pour 10 dollars l'unité sur le Darknet. - Slack – Pexels - CC

Un pirate qui dit avoir dérobé à Instagram les données personnelles de 6 millions d'utilisateurs a mis en vente sur le Darknet des emails et des numéros de téléphone de célébrités pour 10 dollars. Il fait de la pub sur les forums et promet même des remises commerciales.

De toute évidence, Selena Gomez, l'ex petite amie de Justin Bieber, n'est pas la seule à s'être fait pirater son compte Instagram. Au final, les données personnelles de 6 millions d'utilisateurs seraient aujourd'hui dans la nature. C'est en tout cas ce qu'affirme un pirate qui revendique le braquage. Et pour le prouver, il a transmis au site Ars Technica un échantillon de 10.000 données.

Ces données ont été analysées par Troy Hunt, un expert en cybersécurité connu pour chasser les pirates, qui a confirmé leur authenticité. On y trouve des emails et des numéros de téléphone. Et même s'il n'y a aucun mot de passe, elles ont de la valeur, d'autant que plusieurs célébrités sont concernées. En plus de Selena Gomez, les noms de Justin Bieber, de Taylor Swift et de Kirsten Dunst ont été cités. 

Des remises pour les achats par lots

Sur le Darknet, cet espace uniquement accessible avec le navigateur Thor, le pirate a créé une boutique éphémère pour écouler sa marchandise. Baptisée "Doxagram", il vend ces données pour 10 dollars par compte piraté, et propose des remises pour les achats de lots. Pour le faire savoir, le cyberdélinquant a posté des publicités sur des forums web dans lesquelles il dit pouvoir récupérer les données personnelles de célébrités ce que "personne d’autre ne peut garantir".

Reste à savoir comment ce pirate a mis la main sur ces données. Il y a quelques jours, Instagram avait confirmé l’existence d’une faille dans son API permettant d’accéder aux données personnelles des comptes. L’éditeur a publié une note d’excuse sur son site et a dit que le bug était réparé.

Mais selon les chercheurs en sécurité de Kaspersky, rien ne prouve encore que le pirate ait utilisé cette faille basée sur "une procédure déficiente de récupération de mot de passe". Selon la société de cybersécurité, le bug ne permettait qu’une extraction manuelle et une à une des données, or le pirate aurait mis en œuvre une extraction automatique capable de traiter un million de comptes par heure.

Gilbert Kallenborn (01Net), édité par P.S.