Une base de données attribuée à Le Média Pour Tous, média indépendant fondé par Vincent Lapierre, a été publiée sur un forum cybercriminel. L’auteur de la publication affirme détenir les informations de plus de 13 000 comptes utilisateurs.
Selon le message publié, les données ne seraient pas récentes, mais contiennent néanmoins des informations sensibles relatives aux membres enregistrés sur la plateforme.
Des comptes utilisateurs WordPress exposés
Les échantillons diffusés correspondent à une base de données d’utilisateurs issue d’un site WordPress et contiennent de nombreux éléments associés aux comptes membres.
- Identifiants utilisateurs
- Nom d’utilisateur
- Adresse e-mail
- Date d’inscription
- Rôles et permissions
- Nom d’affichage
- Jetons de session
- Adresses IP associées aux connexions
- Informations sur les navigateurs utilisés
- Mots de passe hachés
Des sessions de connexion également présentes
Au-delà des simples comptes utilisateurs, les échantillons contiennent également des jetons de session WordPress ainsi que des métadonnées techniques liées aux connexions des membres.
On y retrouve notamment des informations sur les appareils utilisés, les adresses IP ainsi que l’historique de certaines connexions enregistrées par la plateforme.
Un risque de réutilisation des identifiants
Les mots de passe visibles dans les échantillons apparaissent sous forme hachée et non en clair. Toutefois, selon leur ancienneté et l’algorithme utilisé, certains pourraient potentiellement faire l’objet de tentatives de cassage hors ligne.
Les utilisateurs ayant réutilisé le même mot de passe sur plusieurs services pourraient être particulièrement exposés en cas de compromission de leurs identifiants.
Une fuite qui touche la communauté du média
Le Média Pour Tous dispose d’une communauté active de lecteurs, abonnés et participants à ses espaces de discussion. La divulgation de ces données pourrait permettre à des tiers d’identifier certains membres ou de mener des campagnes de phishing ciblées.
À ce stade, aucune communication officielle concernant cette publication n’a été identifiée.