Le site StripChat aurait laissé fuité les données de 65 millions d'utilisateurs

DONNEES PERSONNELLES Une partie des utilisateurs, ainsi que les performeuses et performeurs travaillant sur les sites ont vu certaines de leurs données accessibles librement sur Internet

20 Minutes avec agence
— 
Les données de 65 millions d'utilisateurs de StripChat auraient fuité en ligne (illustration).
Les données de 65 millions d'utilisateurs de StripChat auraient fuité en ligne (illustration). — Damian Dovarganes/AP/SIPA

StripChat, la plus grande plateforme de chat vidéo pour adultes, aurait laissé fuiter les données personnelles de 65 millions d’utilisateurs. Un cluster de serveurs de la plateforme, qui revendique 500 millions de visiteurs par mois, était en accès libre, explique 01Net. La brèche a été découverte le 5 novembre dernier par Bob Diachenko, chercheur en sécurité de Comparitech.

Parmi les données concernées, on retrouve celles de 65 millions d’utilisateurs enregistrés sur la plateforme. Il était possible d’accéder à l’identifiant, l’adresse e-mail, l’adresse IP, le FAI, les paiements (« tips »), ainsi que la date de dernière activité et la date de création de comptes.

719.000 messages échangés

Sont aussi concernés 421.000 performeuses et performeurs. Cette fois-ci, c’est le nom d’utilisateur, le sexe, l’identifiant du studio, le statut, les options de « tips » et le score général qui étaient consultables.

D’autres données étaient aussi disponibles comme 134 millions de transactions réalisées sous forme de tips et token, ainsi que 719.000 messages échangés sur la plateforme pour adultes. C’est deux jours après avoir été averti par le chercheur en sécurité que StripChat a fermé les accès à ses données.

Aucun mot de passe, selon StripChat

Difficile de savoir précisément si des tiers ont pu consulter les données et les télécharger. La présence des adresses IP parmi ses données pourrait être dommageable pour les utilisateurs de StripChat car elles « pourraient permettre à quelqu’un de trouver et de traquer, de harceler ou même d’agresser quelqu’un », selon Bob Diachenko.

De son côté, la plateforme a souligné que les données concernées ne dévoilaient ni mot de passe, ni donnée financière ou encore de document de vérification de compte.