MacGeneration victime d’une attaque informatique
MacGeneration a été récemment victime d’une attaque informatique de grande ampleur. Au cours de cette opération nous visant directement, les attaquants ont exploité une faille dans un module tiers pour pénétrer dans notre infrastructure, et accéder à notre serveur de bases de données.
Nous avons découvert cette attaque après une tentative de phishing visant nos journalistes et nos développeurs. Nous avons immédiatement mené un audit complet de nos serveurs, pris des mesures de sécurisation, et mis hors d’état de nuire les serveurs utilisés par les malandrins.
Nous venions heureusement de supprimer une partie des comptes inactifs depuis plusieurs années. Les informations des comptes de 102 262 membres ont toutefois été compromises. Le pseudonyme et l’adresse e-mail apparaissent en clair, mais le mot de passe est haché avec SHA-512 et salé.
Les motivations de cette attaque ne sont pas claires, aussi les conséquences sont probablement limitées. Par acquit de conscience, nous vous recommandons toutefois :
- si vous n’utilisez plus votre compte MacGeneration : cliquez ici pour demander sa suppression ;
- si vous utilisez votre compte MacGeneration : cliquez ici pour changer votre mot de passe.
Outre cette annonce publique, nous avons averti tous les membres actifs1 par e-mail, et nous avons notifié le service Have I Been Pwned? afin de faire remonter l’information dans les gestionnaires de mots de passe. Nous avons notifié l’incident à la Cnil, et nous déposerons plainte dans les prochains jours.
Nous tenons à vous présenter nos excuses pour cette fuite de données indépendante de notre volonté. Nous continuons à étudier les conséquences de cette attaque, et nous restons à votre disposition pour tout complément d’information.
- Qui se sont connectés au moins une fois dans les douze derniers mois. Les comptes qui possèdent des adresses erronées ou témoignent de vagues de spam seront progressivement supprimés dans les mois qui viennent, et les derniers comptes inactifs pourront être supprimés pour répondre à notre objectif de minimisation des données en notre possession. ↩︎
@Inconnue 67
La sagesse alsacienne.
@JOHN³
« Was de Bür net kennt, esst er net ! » 😜
Petit dicton alsacien, qui veut dire :
« Ce que le paysan ne connaît pas, il ne le mange pas ! »
On n'est jamais trop prudent... 😄
@ Inconnue 67
> Was de Bür net kennt
J'ai mis un peu de temps à faire le lien avec Bauer.
Je parle allemand et j'ai fait mes études à Strasbourg, mais dans cette ville on ne croise pas beaucoup de paysans ! Et c'est pas dans le milieux universitaire qu'on parle le plus alsacien non plus. Et je suis un peu rouillé concernant les dialects. Pourtant j'ai été mis à rude épreuve en Bavière, mais c'était il y a une éternité.
Sinon, j'ai aimé y vivre presque trois ans, et j'adorais parfois entendre ces discussions au bistro qui démarrent dans une langue, passe à l'autre au gré des expressions qui te passent en premier par la tête, pour switcher à nouveau un peu plus tard...
Amitié aux elsaco qui trainent par ici... ✌️💙
@marc_os
😃 😄 ✌️😉 💓
@Inconnue 67
Dû vient donc à Schlettstadt boire un picon Bibele !
@JOHN³
MDR ! 😂🤣😂👍
Hopla ça marche ! Ich bring de Fleischwurscht, gall.
À + min Hasele... 😜
Jetz geht's los ! 🍻🥨 Un d'Mammema leit uf de Stross... 🤪😂
D'autant que le problème de ce mail c'est que tous les liens sont des traqueurs et aucun n'affiche le vrai nom de domaine de Macg.
Ce n'est vraiment pas très judicieux de procéder de la sorte !
Les pirates qui ont récupéré nos adresses aurait pu envoyer un mail de pishing strictement identique à celui que l'on a reçu.
Comme je l'ai expliqué à mère... on ne clique JAMAIS dans un lien contenu dans un mail, on prend connaissance du contenu et on va directement vérifier sur le site d'où il est censé provenir.
Bon courage à toute l’équipe…
Mot de passe MAJ !
Merci
Bon courage
Ouch !
Dsl pour vous les gars !
Merci de votre transparence en tout cas 🙏🏽
Pouvez vous donner plus d’information sur la faille ?
@Anthony Nelzin-Santos
"Les informations des comptes de 102 262 membres ont toutefois été compromises"
A moi tout seul j'ai 33 468 comptes chez MacG, je vous raconte pas le boulot que vous me faites faire ...
@pocketalex
Moi j’ai tous les autres. Au final ça concerne que 2 personnes, c’est pas si grave. Bon je vais changer les mots de passes de mes 68 794 comptes bancaires, à dans 6 mois.
@tupui
Au pif: un admin a édité un template de mailing sur le serveur depuis une connection ftp, a diffusé le mail, avec un magnifique « saved from ftp://root:motdepasse@macge.com/template.html » dans le code source du mail.
Le mot de passe ftp est le même que celui de la connexion ssh et celui de l’admin de la base.
@tupui
“Pouvez vous donner plus d’information sur la faille ?”
Les login et pass étaient dans les signatures de leurs mail pour ne pas les oublier 🤪
Je suis connecté tous les jours via l’application mais je n’ai reçu aucun mail. Vous avez envoyé les mails quand ?
Ça arrive même au meilleur ;-)
@Anthony
Le temps d’écrire mon commentaire et le mail est arrivé ! Merci pour la réactivité !!!
@Anthony
J’allai justement demander confirmation car j’ai reçu l’e-mail on doit changer le mot de passe et c’est bon? Merci.
@Anthony
Mail reçu mais impossible de changer le mot de passe sur votre lien. Mot de passe non reconnu 😬
@brunnno
Pareil 🤔
@brunnno
Avec Firefox et 1Password, problème si Firefox enregistre aussi les mots de passe. Le changement de mot de passe dans 1Password ne corrige pas celui de Firefox qui garde la main … Il faut donc supprimer le mot de passe posant problème dans Firefox AVANT de valider le changement sur le site.
Résultat d'expérience personnelle, ça fonctionne.
Pareil.
@ nik75011
J'ai reçu le mail hier le 16 à 15h03.
Ton commentaire a été publié à 15h06 semble-t-il d'après ce qu'affiche le site, soit trois minutes seulement plus tard.
Or toutes les messageries n'ont pas la même vitesse de diffusion, ensuite suivant tes réglages, soit tu vois tes mails arriver "immédiatement" en "push", soit tu doit les relever.
Donc je suppose qu'à l'heure où j'écris tu as dû le recevoir.
Et bien pour la peine, je vais m'abonner !
Soutien à 100% !
Merci d’être transparents, et pour les gens : gestionnaire de mots de passe, n’oubliez pas 👍
Fait. Courage à vous !
Merci pour l’info. Mot de passe changé.
C’est encore un coup de Log4J ?
Cela me fait me poser une question, pourquoi chiffrer uniquement les mots de passe dans les bases de donnés, et pas l’intégralité de la base?
Je sais que l’email est beaucoup moins important que le mot de passe, mais ça reste des données relativement sensibles.
@Thibaud-
Sinon la base de données serait quasi inutilisable pour filtrer etc..
@Thibaud-
Je suis d’accord.
C’est toujours pareil, les données des utilisateurs sont toujours les dernières à être sécurisées …
C’est pas comme si ce n’était pas courant ce genre de d’attaque et pas comme si on le dit et demande, sécuriser les informations utilisateurs !
C’est jamais agréable, mais bon courage en tout cas et merci de nous avoir averti !
@Thibaud-
Parce qu’il ne faut pas confondre hachage et chiffrement. Une fonction de hachage est une fonction « à sens unique » : une donnée produit une empreinte, mais l’empreinte ne peut, théoriquement, pas retrouver la donnée initiale (j’insiste sur le théorique, car il existe de nombreux angles d’attaque pour les contrer). Pour faire simple, les mots de passe sont hachés et salés : macg ne connait pas votre mot de passe n’a pas possibilité de le connaître. A chaque fois que vous vous connectez, le mot de passe que vous saisissez passe dans la moulinette et seules les empreintes sont comparées.
Hacher les emails reviendrait… à perdre la donnée et ils ne pourraient donc plus vous contacter comme ils viennent de le faire.
Reste la possibilité de chiffrer, mais cela implique d’autres problématiques, notamment sur la gestion des clés de chiffrement : macg doit pouvoir déchiffrer les données et donc être en possession de la clé. S’ils sont compromis, la clé a toutes les chances de l’être également et la sécurité se trouve donc caduque.
Bref, la centralisation de données et leur protection restera toujours un sujet délicat. 🙂
@Anthony
Absolument, c'est totalement logique. ;)
@Anthony
Après, rien ne vous empêche de faire 2 chiffrage. Un pour le mot de passe, comme ce que vous avez déjà, et un deuxième avec juste les données perso, et qui est fait avec une clé que seuls vous connaissez (comme celui utilisé pour se connecter sur la base de données, ou un truc à saisir à part).
Après, c'est pas mon domaine, donc ce n'est qu'une hypothèse ^^
@minipapy
Macge hashe le mot de passe qui est posté en clair. Ils connaissent bien la valeur avant. Ils ne la conservent et ne la mettent probablement pas dans un log par contre.
@minipapy
Merci bcp pour les explications 👍👍
@Thibaud-
Ouais hashons les commentaires ça pourrait être fun.
Je commence
$2y$10$neZJGqbkgg15xZ78Ed2I0u.pl7waJF2ijVTBfnFrEq6Nu/tQgqrjy
https://actu17.fr/faits-divers/montpellier-dans-la-rue-ladolescent-de-13-ans-avait-un-hachoir-de-boucher-a-la-ceinture.html
Question debile , ça va servir à quoi de changer mon mot de passe s’ils ont déjà mes données ?
Merci pour l’info. Malheureusement ces attaques touchent tous les sites à court ou long terme.
Bon courage !
@Anthony
Ok merci et là je viens de recevoir un deuxième mail de Macg mais avec une adresse différente ! Est ce que c’est aussi la vôtre ? Sinon c’est peut être eux qui exploite la situation de crise car il y a des liens pour réinitialiser le mot de passe …
@Anthony
Ok merci pour l’explication ! Bon courage à vous !!!
@Anthony
Effectivement c’est le cas.
Merci pour cette excellente réactivité.
Je ne peux pas m’abonner plus que l’illimité, mais le cœur y est.
Bon courage.
Pages