Le hacker qui a récemment mis en vente les données de milliers de comptes de LinkedIn a récidivé en proposant cette fois les données volées sur MySpace et Tumblr au plus offrant. C’est une nouvelle fois sur le Deep web, la partie d’internet non indexée par les moteurs de recherches, donc invisibles des internautes lambda, que cette vente est proposée.
C’est la semaine dernière que le pirate qui se fait appeler peace_of_mind a mis en vente les données de quelque 167 millions de comptes LinkedIn volées en 2012 au prix d’environ 4 bitcoins, soit l’équivalent de 2 000 euros, sur le site TheRealDeal. Cela peut sembler pas cher, mais les données ne sont plus de toute première fraicheur vu qu’elles datent de quelques années.
En fait, les données piratées ne valent pas très cher. Pour preuve, les 360 millions d’adresses e-mail et 427 millions de mots de passe volés sur MySpace sont eux proposés au prix de 6 bitcoins, soit l’équivalent de 3 000 euros, un montant qui est encore dérisoirement faible. C’est également le cas des 65 millions d’identifiants appartenant à des utilisateurs de Tumblr affichés à 0,425 5 bitcoin, soit seulement 200 euros. Volée en 2013, ces données ne sont pas toute première fraicheur non plus.
Il est à souligner que les données piratées sur LinkedIn, MySpace et Tumblr ne sont pas vendues aux enchères, mais vendues tout court. La différence, c’est qu’il n’y a pas qu’un seul acheteur, mais qu’il peut y en avoir plusieurs, donc plusieurs personnes potentiellement malveillantes qui pourraient les exploiter.
Il est à noter que le site TheRealDeal est une place de marché virtuelle qui est totalement illégale. Situé dans le Deep web, il est accessible au travers du réseau d’anonymisation Tor.