MacGeneration victime d’une attaque informatique
MacGeneration a été récemment victime d’une attaque informatique de grande ampleur. Au cours de cette opération nous visant directement, les attaquants ont exploité une faille dans un module tiers pour pénétrer dans notre infrastructure, et accéder à notre serveur de bases de données.
Nous avons découvert cette attaque après une tentative de phishing visant nos journalistes et nos développeurs. Nous avons immédiatement mené un audit complet de nos serveurs, pris des mesures de sécurisation, et mis hors d’état de nuire les serveurs utilisés par les malandrins.
Nous venions heureusement de supprimer une partie des comptes inactifs depuis plusieurs années. Les informations des comptes de 102 262 membres ont toutefois été compromises. Le pseudonyme et l’adresse e-mail apparaissent en clair, mais le mot de passe est haché avec SHA-512 et salé.
Les motivations de cette attaque ne sont pas claires, aussi les conséquences sont probablement limitées. Par acquit de conscience, nous vous recommandons toutefois :
- si vous n’utilisez plus votre compte MacGeneration : cliquez ici pour demander sa suppression ;
- si vous utilisez votre compte MacGeneration : cliquez ici pour changer votre mot de passe.
Outre cette annonce publique, nous avons averti tous les membres actifs1 par e-mail, et nous avons notifié le service Have I Been Pwned? afin de faire remonter l’information dans les gestionnaires de mots de passe. Nous avons notifié l’incident à la Cnil, et nous déposerons plainte dans les prochains jours.
Nous tenons à vous présenter nos excuses pour cette fuite de données indépendante de notre volonté. Nous continuons à étudier les conséquences de cette attaque, et nous restons à votre disposition pour tout complément d’information.
- Qui se sont connectés au moins une fois dans les douze derniers mois. Les comptes qui possèdent des adresses erronées ou témoignent de vagues de spam seront progressivement supprimés dans les mois qui viennent, et les derniers comptes inactifs pourront être supprimés pour répondre à notre objectif de minimisation des données en notre possession. ↩︎
Merci pour votre transparence.
Courage à vous pour la suite 🙏
@frankynov
Tout pareil. Bon courage !
Si Apple retire la touch bar des prochain MBP M2, je vous pardonne
@ pocketalex
> Si Apple retire la touch bar des prochain MBP M2
Pourquoi pénaliser ceux qui ne pensent pas comme vous et ne pas souhaiter qu'elle soit en option ? Car franchement, des boutons physiques sur une machine PRO qui ne servent à rien pour 6 sur 12 d'entre elles, comme la touche Spotlight pour laquelle on a déjà le raccourci clavier cmd-espace et une commande menu, la touche "dormir", sans parler des touches F1 à F12 qui nécessitent d'utiliser deux mains car il faut appuyer en même temps sur la touche fn, c'est juste du remplissage. Sans parler du fait que les deux touches du réglage de la luminosité du clavier ne sont plus présentes.
Par contre au travail je vais regretter le fait de ne plus pouvoir régler rapidement la luminosité de mon second écran via la TouchBar, ce qui va m'obliger à aller chercher le réglage dans un menu.
@marc_os
> sans parler des touches F1 à F12 qui nécessitent d'utiliser deux mains car il faut appuyer en même temps sur la touche fn…
Ou alors il suffit d'activer les touches à auto-maintien dans les préférences système, ces touches vont te permettre de composer des raccourcis avec Shift, fn, control, option et command et tout ça à l'aide d'un seul doigt… ;-)
@frankynov
C’est de toute façon une obligation légale de communiquer à ses clients Je suis sur que Mac G l’aurais fait mais maintenant celui qui ne le fait pas est en infraction grave
@Anthony
Bonne gestion « de crise » 👍 mais il ne faut pas non plus minimiser l’utilité du peu d’informations collectées : le pseudo en plus du mail c’est déjà une bonne base pour de l’hameçonnage non ?
@Anthony
Bonjour à tous.
Par contre je pense qu’il y a lien car j’ai eu une transaction frauduleuse sur mon compte bancaire.
mais t'es pas membre du club.
@Anthony
Et pourtant vous avez renouvelé automatiquement mon abonnement sans me redemander mes coordonnées de CB, ça craint…
@Malik25230
Et moi j’ai mal à la cheville depuis que mon mail top secret a fuité. Il y a forcément un lien, mais évidemment tout le monde me contredira. La vérité éclatera au grand jour, mac generati ON nous ment!!
Et puis c’est même pas du bcrypt.
@Anthony
C’est un bon entraînement pour le jour où…. ce que personne n’espère évidemment. Bon courage pour le boulot qui s’annonce 🏋️♂️
(Évidemment une fuite de mail c’est assez négligeable mais c’est l’addition avec le pseudo qui peut rendre crédible une tentative de pishing..)
@Anthony
Hello à tous !
Merci MacG !
Ça me donne enfin une bonne raison pour faire le ménage dans mes mots de passe et au fur et à mesure en changer pas mal pour des plus "robustes"…
Je dois avouer que j'avais un peu la flemme de le faire et que je repoussait toujours l'échéance… ^^
Vous avez toutefois obligation de le notifier à la CNIL dans les 72h, comme prévu à l'article 33 du RGPD..
Incroyable l'agressivité de certains, qui cherchent absolument à mettre MacG en défaut, alors qu'ils ont fait plus que le nécessaire.
Entre celui qui ne comprends pas que pratiquement aucun site français ne stocke de données bancaires et l'autre qui persiste à dire que vous n'avez fait que le minimum syndical, l'ambiance craint pas mal.
Courage MacG ! Ca arrive à tout le monde une attaque. 😊
@
Pffff fayot.
MacG devrait fournir en compensation l’abonnement iGen à vie à tout le monde... 🤪
@TrollMan06
Tu parles, t’auras même pas un autocollant que personne ne veut 🤪
Je suis d’accord, merci pour votre transparence 🙏🏻
@Pierre-Antoine
Tout à fait, merci MacG !
@Pierre-Antoine
C’est la loi. Mais merci quand même.
Merci d’avoir prévenu.
Bon courage ! 👍
Ça arrive même aux meilleurs : la preuve !
@Danny Wilde
Restons calmes, n’exagèrerons rien
Ça arrive mais merci pour la transparence, en effet. MdP changé.
Le plein de courage ! Merci pour la clarté de vos explications ✌️
Encore un coup des fanboys d’androïd ça…
@Stéf06
"Encore un coup des fanboys d’androïd ça…"
Sans aucun doute !! 😂 😂 😂
Allez MacG, courage, salut et fraternité.
🤣🤣🤣 Des jaloux... une grande clique de jaloux... j'vous jure!
Courage à vous la Team. Par sécurité, j'ai changé mon mot de passe même si je n'ai pas reçu le mail m'invitant à le faire. Votre transparence sur ce sujet souligne une fois encore votre très grand professionnalisme !!
Merci à vous pour la transparence 😀
J’ai cru que le mail demandant de changer le mot de passe était une tentative de phishing … :)
@ArthurPrchy
Pareil !
Idem !
Nous devenons parano !
Juste avant j'ai failli bloqué le préfet de la Vendée ! 😂
@ArthurPrchy
Pareil... 🤣
Surtout que j'en ai reçu 2 en fait !
@Link1993
Réponse à moi même : le deuxième mail vient du kickstarter.
@ArthurPrchy
Je voulais leur demander aussi
@ArthurPrchy
Même doute sur le moment. Mais j’ai quand même changé le MDP dans le doute. En passant par le site directement, plutôt que par le lien fourni dans le mail !
Courage à la team Macgé !
Surtout vu la tête du lien! Je comprends que cela aurait pu passer pour du phishing.
Passer par le site devrait être systématiquement conseillé.
@7X L'adresse peut être vérifiée et ne me semble pas suspecte.
J'ai changé mon mot de passe bien sûr.
@zol614
pareil ^^.
Mais j'étais sur que Macg ferait un article la dessus, donc j'ai attendu qu'il soit là avant de changer mon mot de passe 😊.
@ArthurPrchy
Idem, je pensais à du punishing même ! Ah ah ah
@ArthurPrchy
Pareil. Il faut dire que les liens et adresses du courriel sont très exotique pour moi.
@ArthurPrchy
Il suffit de regarder l’adresse mail pour savoir que le mail vient bien de MacG 😉
@David Finder
« Il suffit de regarder l’adresse mail pour savoir que le mail vient bien de MacG 😉 »
Malheureusement, non, cela n'est pas suffisant...
L'adresse mail expéditrice peut être maquillée !
En +, sur iOS et iPadOS, dans l'appli Mail, on n'a pas accès à l'en-tête complet... 😕
Ce qui permettrait d'avoir plus d'infos sur la source du message. 🧐
Et, concernant le lien, dans le mail de @MacG, destiné à réinitialiser le Mot de Passe ; j'ai également été perturbée par cette adresse exotique...
Dans le mail, l'adresse commence par :
👉 http :// 3vkn.mj.am/lnk/ ...... 😳 🤨 🤔
Or, dans l'article sur MacG, l'adresse est :
👉 https://reset.macg.co/ 👍
Dans tous les cas, par mesure de sécurité, il vaut mieux toujours éviter de cliquer sur les liens présents dans les mails ; et plutôt se rendre directement sur le site.
Pages