Informations personnelles identifiables de 2,5 millions d'utilisateurs des forums ISO Xbox 360 et PlayStation Portable divulguées

Il a été révélé que des informations personnelles et des détails de cartes de crédit/débit de plus de 2,5 millions de joueurs des deux forums de jeux très populaires, PlayStation et Xbox, ont été divulgués en ligne, après presque un an depuis qu’ils ont été volés lors d’une attaque de piratage. Les hackers avaient également volé les adresses e-mail et les adresses IP des utilisateurs ainsi que les mots de passe.

Les forums PSP ISO et Xbox 360 ISO se spécialisent dans la fourniture de fichiers ISO téléchargeables de titres de jeux gratuitement - des copies numériques de jeux extraites de disques de jeux physiques et distribuées illégalement. (NOTE : Télécharger des jeux piratés à partir de sources non autorisées est non seulement illégal, mais cela peut également représenter un risque pour la sécurité).

On pense que les attaques de piratage ont eu lieu autour de septembre 2015 et que les hackers ont volé les adresses e-mail et les adresses IP, les noms d’utilisateur et les hachages de mots de passe MD5 salés de près de 2,5 millions de joueurs. Personne n’a encore revendiqué la responsabilité du piratage.

Les données n’ont été révélées que récemment, probablement parce que les identifiants volés sont généralement vendus et achetés pour beaucoup d’argent dans des forums souterrains privés du dark web et utilisés dans des escroqueries et des tentatives de connexion ultérieures.

Mark James, spécialiste en sécurité informatique chez ESET, a déclaré : « Les piratages comme ceux-ci sont assez courants où des données ont été volées et les victimes ne s’en rendent compte que des mois, voire des années plus tard.

« Les escroqueries et les attaques de phishing essaieront d’utiliser les données précieuses pour inciter encore plus d’informations de l’utilisateur sans méfiance ; ces informations sont testées, stockées et souvent utilisées à des fins de vol d’identité.

« Très souvent, les personnes utilisant des sites Web apparemment peu sécurisés n’imposent pas une bonne sécurité des mots de passe parce que ce n’est pas une cible financière, mais toutes les données ont une valeur et seront réutilisées à d’autres fins.

« Chaque site Web doit être traité comme unique et nécessiter des mots de passe différents avec un mélange de noms d’utilisateur si possible. »

L’expert en sécurité Troy Hunt et fondateur de haveibeenpwned.com a déclaré : « Chaque fois que nous voyons une violation de données, les comptes sont pris et les noms d’utilisateur et mots de passe sont testés sur d’autres sites.

« Souvent, les gens ont réutilisé leurs mots de passe et d’autres comptes sont donc compromis. »

Normalement, les cybercriminels abandonnent les données une fois qu’ils ont gagné suffisamment d’argent avec et les données sont récupérées sur le dark web.

Troy Hunt a ajouté : « Il peut y avoir un long délai entre une violation et la publication des données… Il y a un nombre incalculable de violations qui se sont déjà produites dont nous ne savons tout simplement pas encore. »

Les experts en sécurité ont averti les joueurs d’être particulièrement prudents lorsqu’ils saisissent des informations personnelles sur de tels sites Web. Ils exhortent également les joueurs à revoir leurs paramètres de sécurité et à changer les mots de passe de tous leurs comptes.

« Le vol de données récemment divulgué des forums PlayStation et Xbox non officiels est un autre exemple de la nécessité pour les consommateurs d’être prudents quant à qui ils fournissent leurs informations en ligne, » a déclaré Robert Capps, vice-président de la sécurité chez NuData Security, qui a averti les utilisateurs d’Internet d’utiliser des mots de passe uniques sur leurs comptes en ligne pour garder les données hors des mains des cybercriminels.

« Bien que ce site soit principalement utilisé pour distribuer des copies piratées de jeux, de DVD et de BluRays, les consommateurs qui utilisent les forums doivent s’assurer qu’ils restent vigilants. Restez attentifs à toute escroquerie de phishing qui pourrait apparaître dans les e-mails à la suite de ce piratage, en changeant les mots de passe sur tout site où les mots de passe ou noms d’utilisateur utilisés sur ces sites sont utilisés.

« Ces données sont susceptibles d’être vendues sur le Dark Web et utilisées pour de futurs cybercrimes. C’est un bon rappel de choisir des mots de passe uniques sur tous les sites qui nécessitent une inscription. »

Vous pouvez vérifier si vous avez été piraté en vérifiant votre adresse e-mail sur haveibeenpwned.com.