DEEZER et sa violation de données, le point janvier 2023

Sommaire

Le service de streaming musical Deezer a reconnu avoir été victime d’une violation de données par le biais d’un tiers, après qu’un hacker a mis en vente les données de plus de 200 millions d’utilisateurs de Deezer sur un forum de piratage. Dans un e-mail envoyé à RestorePrivacy, Deezer a confirmé l’incident et a expliqué qu’il travaillait avec les autorités françaises.

A lire aussi sur DPO PARTAGE

Cegedim : anatomie de la plus grave fuite de données médicales jamais documentée en France

Fuite de données IDMerit : 53 millions de Français exposés dans l’une des plus grandes violations de données KYC de l’histoire

Fausse convocation de la « Brigade de protection des Mineurs » : anatomie d’une arnaque bien rodée

Selon Deezer, la violation de données a eu lieu en 2019, les pirates ayant réussi à voler une copie des données des utilisateurs. Selon l’analyse de RestorePrivacy, les informations exposées comprennent :

nom et prénom,
date de naissance,
adresse e-mail,
genre,
données de localisation (ville et pays),
date d’inscription
et ID utilisateur.

Deezer indique que aucun mot de passe ni détails de paiement n’ont été compromis dans cette attaque.

Des informations le 6 novembre 2022

Un utilisateur du forum de piratage Breached a publié un échantillon de données le 6 novembre 2022. L’utilisateur prétend détenir les données de plus de 240 millions d’utilisateurs de Deezer et a maintenant publié un échantillon de 5 millions d’utilisateurs.

Peu de temps après la publication de cette information par le hacker, Deezer a reconnu une violation de sécurité via la section support de son site web.

Dans son annonce, Deezer déclare : « Cette information est apparue le 8 novembre 2022 à la suite de nos efforts constants pour assurer la sécurité et l’intégrité des informations personnelles de nos utilisateurs. Les données en question ont été traitées par un partenaire tiers avec qui nous n’avons plus travaillé depuis 2020 et c’est ce partenaire qui a subi la violation. Les systèmes de sécurité de Deezer restent efficaces et nos propres bases de données sont sécurisées. »

Le hacker affirme avoir l’intention de vendre les données, indiquant que le dump complet de 60 GB contient :

presque 258 millions d’enregistrements, 228 millions d’adresses e-mail en clair, et des journaux de session, incluant les adresses IP et les détails de l’appareil.

France : 46,2 millions d’utilisateurs
Brésil : 37,1 millions d’utilisateurs
Grande-Bretagne : 15,3 millions d’utilisateurs
Allemagne : 14,1 millions d’utilisateurs
Mexique : 11,1 millions d’utilisateurs
Colombie : 9,0 millions d’utilisateurs
Turquie : 6,9 millions d’utilisateurs
États-Unis : 6,4 millions d’utilisateurs
Italie : 5,0 millions d’utilisateurs
Guatemala : 4,4 millions d’utilisateurs

Il est recommandé aux utilisateurs de Deezer de changer leur mot de passe et de surveiller toute activité suspecte sur leurs comptes. Deezer travaille également avec les autorités françaises pour enquêter sur la violation de données et prendre toutes les mesures nécessaires. Cette affaire rappelle l’importance de la sécurité des données et de la nécessité de travailler avec des partenaires de confiance pour protéger les informations sensibles des utilisateurs.

Et la suite de cette violation de données deeper ?

Le prix demandé pour le dump complet n’a pas été rendu public, car le pirate n’a partagé cette information qu’en message privé avec d’autres utilisateurs du forum. Il est également inconnu si quelqu’un a acheté le jeu de données.

Plusieurs pirates, y compris l’opérateur du forum, « Pompompurin », ont confirmé que les données sont valides et semblent authentiques.

Analyse et vérification de l’échantillon de données

RestorePrivacy a obtenu des échantillons de données pour analyse et peut confirmer que toutes les données semblent authentiques et correspondent aux informations publiquement disponibles provenant des utilisateurs de Deezer affectés.

Bien que Deezer ait reconnu que la violation de données inclut les noms d’utilisateur, les dates de naissance et les adresses e-mail, notre analyse montre qu’elle contient également des données de localisation (ville et pays) pour certains utilisateurs, ainsi que le genre et l’ID utilisateur, ainsi que la date d’inscription et la source.

Ci-dessous se trouve une capture d’écran de l’échantillon de 5 millions d’utilisateurs publié par le hacker.

Dans une déclaration à RestorePrivacy, Deezer a confirmé la violation de sécurité, mais n’a pas voulu commenter sur l’étendue de cette dernière.

L’incident s’est produit auprès d’un de nos anciens fournisseurs de services en 2019 et les systèmes et bases de données de Deezer sont sécurisés. Les données exposées ne comprennent que des informations de base, telles que les adresses e-mail. Aucun mot de passe ni détail de paiement de nos clients n’a été affecté.

Nous prenons cet incident très au sérieux et travaillons actuellement avec les autorités de protection des données françaises pour confirmer la source de l’incident et prendre toute mesure qui pourrait être nécessaire.

Dans une déclaration complémentaire à RestorePrivacy, Deezer a confirmé qu’il enquêtait sur l’étendue de la violation et sur le nombre d’utilisateurs affectés.

Ai-je été piraté ?

Vous pouvez vérifiez si vous êtes dans la liste en consultant ce site https://haveibeenpwned.com

Deezer : Fin 2022, le service de streaming musical Deezer a révélé une violation de données qui a touché plus de 240 millions de clients. La violation remontait à une sauvegarde de milieu 2019 exposée par un partenaire tiers, qui a été vendue et largement redistribuée sur un forum de piratage populaire. Les données impactées comprenaient 229 millions d’adresses e-mail uniques, des adresses IP, des noms, des noms d’utilisateur, des genres, des dates de naissance et la localisation géographique du client.

Données compromise : dates de naissance, adresses e-mail, genres, localisations géographiques, adresses IP, noms, langues parlées, noms d’utilisateur.