Maison > Le piratage >
MangaDex, une plateforme de scanlation avec des dizaines de millions de visiteurs mensuels, a annoncé qu’elle serait hors ligne jusqu’à nouvel ordre. Selon ses opérateurs, un «acteur malveillant» a eu accès aux comptes administrateur et développeur le week-end dernier, a envoyé un e-mail à certains utilisateurs avec un avertissement. Il est conseillé aux utilisateurs réguliers de supposer que leurs données peuvent avoir été compromises.
Avec la montée en popularité des mangas et des magazines en Occident, des sites comme MangaDex se révèlent irrésistibles pour des millions de fans.
Cette plate-forme dite de «scanlation» – un portemanteau de «scan» et de traduction »- propose des titres de manga dans des langues autres que leurs titres originaux. Ces publications transformées sont ensuite proposées à un nouveau public, mais qui n’a pas à payer pour le privilège.
Il y a un an, MangaDex attirait environ 30 millions de visites par mois, mais selon les statistiques de SimilarWeb, ce chiffre a atteint plus de 75 millions. Cependant, en raison de circonstances exceptionnelles, ces visiteurs – du moins dans un avenir prévisible – devront obtenir leur contenu ailleurs.
MangaDex dit qu’il a été « piraté » la semaine dernière
Dans une annonce dimanche, MangaDex a révélé qu’en plus d’atténuer les attaques DDoS, la semaine dernière, il était soumis à une menace de sécurité beaucoup plus grave.
Le 17 mars, les opérateurs de MandaDex ont déclaré avoir découvert qu’un «acteur malveillant» avait eu accès à un compte administrateur en réutilisant un jeton de session trouvé dans une ancienne fuite de base de données. Cependant, s’il était possible d’identifier et de corriger le morceau de code vulnérable, un examen plus approfondi du site a révélé des problèmes supplémentaires.
«Après la brèche, nous avons commencé à passer de nombreuses heures à examiner le code pour d’éventuelles vulnérabilités supplémentaires, et avons commencé à corriger ce que nous pouvions trouver au mieux de nos capacités», lit-on dans la déclaration de MangaDex.
«Cela s’est déroulé parallèlement à l’ouverture du site après la brèche, car nous avions supposé à tort que l’attaquant ne serait pas en mesure d’obtenir un accès supplémentaire. Cependant, par précaution, nous avions commencé à déployer la surveillance de nos infrastructures et étions restés vigilants en cas de retour de l’attaquant.
MangaDex revient – mais pas pour longtemps
Selon les opérateurs du site, tôt samedi, l’attaquant a eu accès à un compte développeur appartenant à un individu qui était hors ligne depuis quatre jours. Le site a été immédiatement fermé (moins d’une minute) pour que des investigations complémentaires puissent être menées. En quelques minutes, cependant, 10 utilisateurs signalés de MangaDex ont reçu un e-mail de l’attaquant.
«MangaDex a une fuite de base de données», lit-on. «Je vous suggère d’en parler à leur personnel.»
MangaDex dit qu’il y avait une demande de rançon pour «10k BTC [sic] ou tout devient public »mais il n’y a toujours aucune preuve qu’une violation de base de données s’est produite. Cependant, «pour les meilleures pratiques de sécurité, nous supposerons que cela s’est produit», préviennent-ils. [See update below]
Un peu moins de deux heures après l’accès au compte développeur, l’attaquant aurait mis à jour un référentiel git contenant une fuite de code source, notant que MangaDex avait corrigé deux des trois CVE (Common Vulnerabilities and Exposures). Néanmoins, les opérateurs de MangaDex «ont assumé le pire des cas» et ont décidé de ne pas ouvrir le site pour des investigations complémentaires.
Travaux en cours pour sécuriser le site
«Au moment d’écrire ces lignes, nous avons invité de nombreux volontaires pour aider nos développeurs à identifier le dernier CVE possible revendiqué par l’attaquant dans la base de code», poursuit MangaDex.
«Grâce à nos bénévoles, nous avons identifié un bon nombre de failles de sécurité potentielles et avons pris des mesures pour les corriger. Cependant, au moment de la rédaction de cet article, nous n’avons pas encore identifié la dernière CVE possible revendiquée par l’attaquant.
«Avec cette connaissance à l’esprit, nous avons été confrontés à une décision difficile. Si nous avions supposé à tort que le code Web est désormais sécurisé, nous pourrions finir par être à nouveau compromis par l’attaquant. En conséquence, en toute bonne conscience, nous ne pourrions pas rouvrir le site Web aux utilisateurs actuellement. »
Les opérateurs de MangaDex disent qu’après avoir envisagé plusieurs options de réaménagement, ils ont décidé que la plate-forme restera fermée jusqu’à ce que la v5 du site (une réécriture totale de la plate-forme) fonctionne à un niveau de base, un niveau qui au minimum permettra aux utilisateurs de lire, suivre et télécharger du contenu.
Sécurité des utilisateurs
MangaDex semble gérer l’incident de piratage avec professionnalisme, y compris une divulgation complète et en ne minimisant pas la gravité potentielle de toute violation. À ce stade, ils savent que l’attaquant a eu accès à des informations non vues par les utilisateurs réguliers, mais il n’y a toujours aucune preuve d’une violation récente de la base de données de l’hôte complet. Cela étant dit, il est conseillé aux utilisateurs de considérer leurs informations comme compromises.
«En tant qu’utilisateur, nous vous encourageons à supposer que vos données ont été violées et à prendre des précautions immédiatement, telles que la modification des mots de passe de tout compte qui pourrait partager le même mot de passe que votre compte MangaDex. En tant que bonne pratique de sécurité générale, les gestionnaires de mots de passe sont fortement recommandés pour protéger votre identité en ligne », concluent les opérateurs.
La date de retour du site n’est toujours pas claire, avec des estimations allant d’une à deux voire trois semaines. En attendant, le site conseille aux gens d’obtenir des mises à jour de Twitter.
Mettre à jour: Une version antérieure de cet article indiquait qu’aucune rançon n’avait été demandée par l’attaquant. MangaDex informe TechTribune France que «10K BTC» a été demandé, ce qui, selon l’équipe, se rapporte à «10k USD en Bitcoin plutôt que 600M USD en Bitcoin.»
Après un consensus, nous avons décidé de concentrer nos efforts sur MangaDex v5. Nous resterons hors ligne jusqu’à ce que la base de code du nouveau site soit entièrement réécrite. Nous prévoyons prendre plus de 2 semaines pour une version avec des fonctions de base (lire / télécharger / suivre). pic.twitter.com/57sUN1D5W8
– MangaDex (@MangaDex) 21 mars 2021