500px piraté, les données de millions d'utilisateurs subtilisées
La plateforme de partage de photos 500px a fait l’objet d’un casse informatique autour du 5 juillet 2018. Tous ceux qui étaient inscrits avant cette date sont touchés. Un filou a pu voler le nom, le pseudo, l’email, le mot de passe hashé, la date de naissance et l’adresse de chaque utilisateur.
Les informations bancaires, qui sont stockées sur un autre serveur, sont a priori saines et sauves. Il ne semble pas non plus y avoir eu d’accès non autorisé aux comptes.
500px a réinitialisé le mot de passe de tous ses membres (ils sont en train d’être prévenus par mail) et déclare avoir pris des mesures pour renforcer sa sécurité.
Super réactive la plateforme...
@bidibout
On ne se rend pas forcément compte d’une intrusion dans un serveur immédiatement !
Ça demande de chercher des traces dans les log, etc.
Pas si simple...
@iValFR
Je comprend mais là ça remonte quand même à l'été dernier ?
@bidibout
De ce que j’ai compris, ils l’ont appris de manière indirecte via une liste qui circulait sur des marchés parallèles.
D’autres sites moins connus ont aussi été hackés.
@claupatr
Je viens de voir ça entre temps. Il y a de gros sites comme myfitnesspal ou myheritage qui sont aussi dans le lot et là ce sont des infos très très perso voire sensibles qui sont menacées ! C'est de pire en pire ?
?
Faut être inconscient pour ne pas utiliser iCloud...
@Sgt. Pepper
C’est sûr …
https://www.google.fr/amp/s/www.clubic.com/amp/827240-piratage-300-comptes-icloud-menaces-suppression.html
@Eltigrou
C’était complètement bidon ..
Le seul risque est le phishing , donc le 2FA est vivement recommandé
(Ps : vive Qwant)
@Sgt. Pepper
De toute façon je dis ça mais j’utilise aussi le Cloud : box Dropbox et iCloud Pour des données peu sensibles.
Lorsqu’on fait ça on est quand même un peu à la merci d’un point faible quelque part…
Sauf que 500pix à rien à voir avec iCloud…
@huexley
Ha Ok : c’est plutôt un réseau social à la Instagram?
(J’ai juste lu la News qui parle de partage..)
@Sgt. Pepper
Me semble que c’est un genre de flickr
@reborn
Merci - à côté de la plaque - Mea culpa ?
Wikipedia Anglais le classe en “Social Networking” ?
(C’est aussi un outil professionnel pour se faire connaître et gagner de l’argent avec son travail)
C'est effectivement un genre de Flicker avec un peu de Social dessus (c'est la mode).
A effacer.
@Sgt. Pepper
Il est où le rapport ?
Pour vivre heureux vivons caché!
Pour vivre heureux, restons propriétaire de ses données.
@Sorabji
Les données de qui ? ?
J’ai bien reçu le mail de 500px, mot de passe iOS 11 changé par le nouveau plus robuste d’iOS 12 ??♂️ Je n’y peux rien faire de plus.
@The Joker WSS
Si certains ont utilisé le même mail/password sur d’autres sites : ils sont mal ?
Avec un Hash basic, et via un dictionnaire, il est facile de retrouver un mot de passe « simple » en clair
Pour ma part je suis coincé en boucle > je me loggue > j'ai l'avertissement > je reset > je met un nouveau passe > je vais me logguer et *poof* retour à la case départ.
@huexley
Ça m’arrive parfois quand le trousseau iCloud sauvegarde le mot de passe sans le nom d’utilisateur, à voir dans « réglages » « mots de passe »
Bon bon bon... après Flickr c’est donc au tour de 500px de ne plus être une plateforme de partage de photo de confiance ? Il ne nous reste donc qu’Instagram ? YOU-PI. ?
@Namingway
Et Google Photos ?
@KorE SUPPRIME !!! ?
?
Accessoirement 500pix offre l'authentification double facteur
Je me connectais avec mon Facebook, j’ai donc changé le mot de passe de ce dernier immédiatement
Quelle bande de **** de ne pas avoir alerté immédiatement
@iVador
Précaution inutile cela dit en passant
@Olive777
Non
@iVador
Ok, si tu veux ?
@Olive777
On n’est jamais assez prudent
J'ai effacé mon compte 500px et je m'en félicite :)
D’où l’importance de crypter les données dans la bdd
@mk3d
En l’occurrence, si ils ont réussi à accéder à tout ça c’est qu’ils avaient sûrement déjà un accès très très privilégié donc le cryptage de la BDD n’y aurait probablement pas changé grand chose ;)
@fornorst
C’est faux. Les mots de passe étaient hashés et quelque soit le niveau d’accès, ils ne sont pas stockés en clair.
Les dictionnaires peuvent aider, mais il faut connaitre l’algo de hachage utilisé, que le mot de passe soit suffisamment simple et qu’il n’ait pas été salé.
Autant dire qu’il est peu probable qu’ils aient pu tirer quoi que soit des mots de passe.
@minipapy
La différence c’est que les mots de passe ne sont stockés que hashés et qu’ils sont hashés par un algo qui ne permet pas de revenir à la version en clair. Quand on gère de l’authentification, on n’a pas besoin de connaître la version en clair du mot de passe : on compare tout le temps la version hashée en base avec la version hashée du mot de passe en clair (et du salt si on a bien bossé) fourni par l’utilisateur sur son formulaire de connection.
A la différence du mot de passe, les autres champs ne peuvent pas être cryptés par un algo de hashage destructeur. Typiquement, si je veux envoyer un e-mail à un utilisateur pou4 lui souhaiter un bon anniversaire, j’ai besoin des versions en clair de ces champs.
Quand on parle de cryptage d’une BDD, on parle souvent de ce qu’on appelle de « l’encryption at rest ». Le but est de crypter les fichiers dans lesquels notre BDD (mysql, mariadb, mongo, ...) stocke ses données sur le disque. L’objectif est d’empêcher un attaquant qui gagnerait un accès SSH à la machine de télécharger ces fichiers et de relancer cette même base de données chez lui avec un accès root. Le seul truc c’est que pour que ce soit efficace, il faut que la clé permettant l’ouverture (ie : le décryptage) de ces fichiers par la BDD ne soit plus accessible quand l’attaquant arrive à gagner son accès SSH. Si il arrive 1 avoir accès aux fichiers de la BDD et à la clé de décryptage desdits fichiers, il a accès à tout comme si ça n’était pas crypté :) et tout ça nécessite un niveau de maturité au niveau plateforme qui n’est pas donné à toit le monde. Et ce type de feature est souvent payant pour les BDD. Chez MongoDB par exemple, il nécessite une license Enterprise facturée environ 10K$ / an / node. Ça r3vient donc vite très très cher dès que tu as un traffic assez important ;)