Aptoide piraté: plus de 20 millions de comptes exposés

Nous l'avons déjà commenté à de précédentes occasions: les informations et les données personnelles sont la nouvelle huile du 21e siècle. Les entreprises numériques et les pirates font du commerce avec eux et avec qui d'autre a le moins souffert de la fuite de l'un de leurs comptes sur le réseau. Cette semaine, c'était au tour d'Aptoide.

Bien que les coordonnées bancaires n'aient pas été compromises et que les informations personnelles volées aient été minimes, des millions d'informations d'identification d'accès ont été exposées . Apotide est le plus grand magasin d'applications indépendant au monde, avec un total de plus de 150 millions d'utilisateurs enregistrés. Un référentiel d'applications alternatif très populaire, décentralisé et basé sur la blockchain, qui permet aux développeurs de créer leur propre magasin d'applications au sein du conglomérat mondial de la plate-forme.

Le piratage a été révélé le 17 avril via le compte Twitter Under The Breach , où il est précisé que plus de 39 millions de comptes Aptoide auraient été copiés, filtrant 20 millions de comptes dans un forum d'accès public pour démontrer la véracité de l'attaque. Les journaux incluent les adresses e-mail, les mots de passe hachés SHA-1, les noms, les dates de naissance, l'état du compte, les agents utilisateurs des dernières connexions et l'adresse IP correspondante. De même, il est également indiqué si un compte appartient à un utilisateur avec des autorisations de super administrateur.

Après cette terrible nouvelle, qui aurait sans doute dû surprendre les propriétaires de la plateforme, Aptoide a répondu via son blog avec de nouveaux chiffres mis à jour, indiquant que la fuite aurait affecté 49 millions de comptes. Cependant, il est également précisé qu'environ 32 millions d'utilisateurs ont utilisé l'authentification OAuth pour se connecter avec leurs comptes Facebook et Google, donc dans ces cas, aucun mot de passe n'aurait été violé. Les mots de passe des comptes restants utilisaient un hachage SHA-1, un algorithme de hachage qui n'est actuellement plus considéré comme sécurisé.

La fuite de données personnelles est minime, oui, bien qu'elle pose un grand danger

On pourrait dire que les chiffres de piratage sont assez faibles, principalement en raison du modèle d'accès ouvert utilisé par Aptoide. Étant donné que bien que nous ayons besoin d'un compte pour commenter et laisser une évaluation sur la plate-forme, les téléchargements et les mises à jour d'applications sont ouverts et il n'est pas nécessaire d'être enregistré pour le faire. D'Aptoide, ils ont également déclaré que de tous les comptes divulgués, très peu d'entre eux ont un nom ou une date de naissance, et qu'il n'y a pas de données bancaires ou d'autres informations sensibles pouvant être exploitées.

Maintenant, cela ne signifie pas que le piratage est inoffensif ou moins dangereux pour l'utilisateur. Si un tiers a accès à notre compte Aptoide, cela signifie qu'il peut télécharger des APK sur notre appareil sans notre autorisation et qu'il existe donc un risque élevé d'être infecté par un logiciel malveillant.

Par conséquent, si nous utilisons Aptoide pour télécharger des applications, il est fortement recommandé de changer le mot de passe d'accès dès que possible. Il n'est pas non plus clair si un attaquant ayant accès à un compte de développeur pourrait profiter de l'accident pour distribuer des applications corrompues, l'alarme reste donc élevée.

Depuis Aptoide, ils assurent qu'ils travaillent pour résoudre le problème. Pour le moment, ils ont désactivé toutes les activités sur la plate-forme qui nécessitent l'utilisation d'un compte (connexions, commentaires, notes et avis). Cela n'affecte pas les téléchargements, qui peuvent continuer à être effectués normalement, mais lorsque Aptoide rouvrira ses portes, les utilisateurs devront changer leur mot de passe d'accès.

Avez-vous installé Telegram ? Recevez le meilleur article de chaque jour sur notre chaîne . Ou si vous préférez, découvrez tout sur notre page Facebook .