Fuite de données chez Deezer : 220 millions d’utilisateurs concernés

La plateforme de streaming musical Deezer, basée en France, a reconnu une violation de données qui pourrait avoir compromis les informations personnelles de plus de 220 millions d’utilisateurs.

Have I Been Pwned, un site Web qui vérifie si les informations personnelles des utilisateurs ont été compromises en raison de violations de la sécurité, a décrit en détail toute la portée de l’incident dans des courriels envoyés aux utilisateurs, que MBW a examinés.

Le rapport suggère que les données de 229 037 936 personnes ont été exposées il y a près de trois ans.

Les informations personnelles telles que les dates de naissance, les adresses électroniques, les sexes, les lieux, les adresses IP, les noms, les langues parlées et/ou les noms d’utilisateur des utilisateurs ont été compromises.

Un partenaire tiers de Deezer a été piraté vers le milieu de cette année. Les données des utilisateurs ont été compromises et vendues plus tard sur un forum de piratage suite à cet incident.

Un partenaire tiers avec lequel nous avons cessé de travailler en 2020 était responsable des données compromises. Deezer a déclaré en novembre 2022 que ses « propres bases de données sont sécurisées » et que ses « systèmes de sécurité restent efficaces. »

Les données exposées, comme l’a confirmé Deezer, comprenaient des noms et prénoms, des dates de naissance et des adresses électroniques. Selon l’entreprise, aucune donnée sensible, comme des mots de passe ou des numéros de carte de crédit, n’a été découverte.

« LES DONNÉES EN QUESTION AVAIENT ÉTÉ TRAITÉES PAR UN PARTENAIRE TIERS AVEC LEQUEL NOUS NE TRAVAILLONS PLUS DEPUIS 2020, ET C’EST CE PARTENAIRE QUI A SUBI LA BRÈCHE. LES SYSTÈMES DE SÉCURITÉ DE DEEZER RESTENT EFFICACES. »

DÉCLARATION DEEZER

À la fin du mois de septembre 2022, Deezer comptait 9,4 millions d’abonnés actifs, selon les documents déposés par ses investisseurs.

Une violation de données s’est produite en 2019 chez l’un de nos partenaires, et un instantané des informations non sensibles de nos utilisateurs a été exposé », a déclaré Deezer.

La violation a d’abord été signalée par RestorePrivacy, qui a inclus une capture d’écran du message du pirate sur le forum de cybercriminalité Breached.

Le message est le suivant :

« Aujourd’hui, [je] vends les informations de plus de 200+ millions d’utilisateurs de Deezer.com de 2019 (plus précisément avant septembre-octobre 2019). Il comprend Utilisateurs CSV qui est un fichier de 60gb avec 257 829 454 enregistrements, parmi ces enregistrements il y a environ 228 millions d’emails uniques non anonymisés. Un CSV contenant les sessions utilisateur enregistrées (adresse IP et appareil). Des profils CS, et un dossier nommé final contenant 106 CV. La source n’est pas encore claire mais il semble que Deezer ait engagé une société d’analyse de données tierce pour analyser ses utilisateurs. [J’attendrai que Deezer confirme d’où cela vient lmao. Le premier acheteur [reçoit] également l’accès à l’origine de ces données ([il y a] des éléments supplémentaires dans la source de ces données). »

Le pirate affirme que des utilisateurs en France, au Brésil, au Royaume-Uni, en Allemagne, au Mexique, en Colombie, en Turquie, aux États-Unis, en Italie et au Guatemala sont touchés par la violation de données.

Deezer, qui a une base d’utilisateurs beaucoup plus petite que Spotify, a récemment adopté une stratégie dans laquelle il se concentrera sur quelques marchés clés, tels que la France, l’Allemagne, le Royaume-Uni, le Brésil et les États-Unis.

Le groupe de défense de la vie privée numérique RestorePrivacy affirme avoir obtenu des échantillons des données divulguées pour les analyser et a confirmé que toutes les données correspondent aux informations publiquement disponibles des utilisateurs de Deezer concernés.

Deezer affirme ne pas avoir connaissance d’une quelconque utilisation abusive des données, mais « travaille activement à prendre les mesures appropriées pour sauvegarder les données violées. »

D’autres fuites de données de services de streaming musical ont eu lieu ces dernières années, outre Deezer. En 2020, Spotify a subi trois incidents de sécurité en l’espace de quelques mois.

En décembre 2020, des pirates ont exploité des informations d’identification volées pour accéder à plus de 300 000 comptes d’utilisateurs chez Spotify.

À l’époque, Spotify a confirmé la violation et a déclaré que l’incident aurait pu exposer les adresses électroniques, les photos de profil, les mots de passe, les sexes et les dates de naissance des utilisateurs.