IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Patreon piraté : 15 Go de données utilisateurs se retrouvent sur Internet


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2013
    Messages : 320
    Points : 27 370
    Points
    27 370
    Billets dans le blog
    1
    Par défaut Patreon piraté : 15 Go de données utilisateurs se retrouvent sur Internet
    Patreon piraté : 15 Go de données personnelles utilisateurs se retrouvent sur internet,,
    2,3 millions d’adresses courriel unique ont déjà pu être dénombrées

    La plateforme de financement participatif Patreon a été victime d’un vol massif de données utilisateurs en ligne. Dans un billet de blog, Jack Conte, co-fondateur et PDG de Patreon, a déclaré qu’une base de données Patreon contenant des informations utilisateurs a été compromise, conduisant à un accès non autorisé aux données de la plateforme, à savoir des noms enregistrés, des adresses électroniques, des messages, et quelques adresses de livraison en plus d'un certain nombre d’adresses de facturation stockées avant 2014.

    Aucun numéro de carte de crédit n’a été stocké en entier sur les serveurs de l'entreprise et d'ailleurs aucun numéro de carte de crédit n'a été compromis, comme l'a souligné Conte. Aussi, les pirates n’ont pas eu accès aux numéros de cartes de crédit des clients. Tous les mots de passe, numéros de sécurité sociale et les informations d’imposition des utilisateurs qui ont pu être récupérés par les pirates sont chiffré avec une clé RSA 2048 bits a rappelé le PDG de Patreon. L'entreprise s'est tout de même excusée pour le préjudice occasionné dans un courriel adressé aux clients.

    Patreon a été attaqué le 28 septembre grâce à une version déboguée du site qui était accessible au grand public. Une fois que le problème a été identifié, l'équipe d'ingénieurs a fermé la brèche en arrêtant le serveur et en déplaçant tous les serveurs qui n'étaient pas dédiés à la production derrière un pare-feu. Ils ont également pris des mesures pour aider à prévenir de futurs vols de données et se sont lancés dans un examen rigoureux des systèmes de sécurité.

    Patreon a engagé une équipe de sécurité externe pour enquêter sur l’incident et procéder à un audit de la sécurité en interne. A ce propos, Conte a expliqué qu'il prend la vie privée des créateurs au sérieux ; « c’est la mission de notre équipe que d’aider les créateurs à être payés pour la valeur incommensurable qu’ils apportent à chacun de nous, et gagner votre confiance quant à notre capacité à fournir un service sûre et sécurisé est l’une des priorités de Patreon ». Troy Hunt, un professionnel de sécurité Microsoft a commencé une fouille des données qui ont été compromises mais une analyse complète prendra un certain temps du fait de la taille énorme des données. Une fois le tri terminé, Hunt prévoit d'inclure ces données dans le service HaveIBeenPwned, qui permettra aux utilisateurs de vérifier si leurs données ont été divulguées en ligne ou pas.

    Un total de 2,3 millions d'adresses e-mail uniques a été découvert jusqu'à ce jour dans le processus de fouille de données engagé. Le risque majeur pour les utilisateurs de la plateforme est que ces données soient utilisées pour des usurpations d’identités. En outre, souligne Hunt, il peut y avoir des raisons politiques ou personnelles derrière. Des individus voulant contribuer anonymement à un projet, peuvent vouloir utiliser des données pour ne pas à avoir à s’exposer sur la scène publique.

    Patreon utilise la fonction de hachage bcrypt pour protéger les mots de passe des utilisateurs ce qui rend très difficile de cracker ces mots de passe. Cependant, puisque le code sources du site serait parmi les données volées, il y a une chance que les mots de pas hachés puissent être récupérés par les pirates. Patreon exhorte par conséquent ces utilisateurs à changer leurs mots de passe le plus rapidement possible.

    Source : Patreon

    Et vous?

    Que pensez vous de ce drame de Patreon?

    A voir aussi

    le forum Sécurité Web

    la rubrique Développement Web (Cours, Tutoriels, FAQ, etc.)

  2. #2
    MikeRowSoft
    Invité(e)
    Par défaut
    C'est comme le numéro de R.I.B. qui sert a débiter par abonnement et aussi créditer. Les numéros inscrits sur les cartes bancaire ayant un longue durée de validité donc pour les abonnements et de se fait ne figure plus sur les cartes bancaire.

    Je crois que certaines personnes se sont procurés un truc mais ne savent pas encore s'en servir.

    Ou encore préfère que se soit simple. Comme le prélèvement différé pour lequel personne ne fait le "commit" à la fin du mois.
    Dernière modification par MikeRowSoft ; 05/10/2015 à 16h36.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    je connaissais pas ce site. comme quoi cette news à au moins l'interet de faire de la pub

  4. #4
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut Code source ou pas le reverse est difficile
    Code source ou pas, retrouver les mots de passe est difficile car c'est le principe du haching. Cependant si l'on a la fonction d'encryption (ce qu'ils ont probablement), on peux par force brut, retrouver les mots de passe simple (Simple ne veux pas dire très simple...). Il y a cependant un inconvénient, on ne peux jamais être sur d'avoir le mot de passe. Je m'explique avec le hachage, un mot de passe "toto" devient par exemple "xyz". Mais "tirelir?latire" peux très bien donné comme hach "xyz". Conclusion, il y a 90% de chance que ce soit "toto" mais pas de certitude et inversement avec "xyz" on ne peux pas retrouver informatiquement le mot de passe. Autre conséquence, si votre mot de passe était "tirelir?latire" et que comme probablement beaucoup vous utilisé le même pour vos mail / facebook... Les hackeur ne pourront pas accéder a votre compte mail avec "toto".
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  5. #5
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2007
    Messages
    903
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Septembre 2007
    Messages : 903
    Points : 2 116
    Points
    2 116
    Par défaut
    en déplaçant tous les serveurs qui n'étaient pas dédiés à la production derrière un pare-feu. Ils ont également pris des mesures pour aider à prévenir de futurs vols de données et se sont lancés dans un examen rigoureux des systèmes de sécurité
    Tout cela aurait du être fait avant. Comme beaucoup, ils ne se préoccupent de la sécurité qu'après une catastrophe. Pas sérieux comme site. Amateurs à éviter.

  6. #6
    Membre expérimenté Avatar de shkyo
    Homme Profil pro
    Développeur Robotique - Administrateur systèmes
    Inscrit en
    Juin 2003
    Messages
    841
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Développeur Robotique - Administrateur systèmes

    Informations forums :
    Inscription : Juin 2003
    Messages : 841
    Points : 1 474
    Points
    1 474
    Par défaut
    Il faut dire que dans encore beaucoup de boites, malheureusement, on ne te donne des budgets pour le faire qu'après un gros problème... Anticiper les soucis, surtout en sécurité, demande plus de moyens que de faire à minima!

    Je me souviens avoir bossé dans une boite où ils ont commencé à s'inquiéter des sauvegardes seulement après l'incendie de l'entreprise voisine...
    L'homme sage apprend de ses erreurs, l'homme plus sage apprend des erreurs des autres. - Confucius -

    Ma (petite...) chaine Youtube : https://www.youtube.com/channel/UCy-...P2tH5UwOtLaYKw
    Si vous avez quelques minutes, passez donc voir mon site http://www.photospicsandco.fr/
    Envie de tee-shirts (et goodies!) originaux et sympa ? Visitez mon site... http://www.zazzle.com/shkyo30

  7. #7
    Rédacteur

    Avatar de ram-0000
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Mai 2007
    Messages
    11 517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Consultant en sécurité
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Mai 2007
    Messages : 11 517
    Points : 50 367
    Points
    50 367
    Par défaut
    Citation Envoyé par abriotde Voir le message
    Code source ou pas, retrouver les mots de passe est difficile car c'est le principe du haching. Cependant si l'on a la fonction d'encryption (ce qu'ils ont probablement), on peux par force brut, retrouver les mots de passe simple (Simple ne veux pas dire très simple...).
    D'accord, avoir l'algorithme simplifie la tâche du brute force

    Citation Envoyé par abriotde Voir le message
    Il y a cependant un inconvénient, on ne peux jamais être sur d'avoir le mot de passe. Je m'explique avec le hachage, un mot de passe "toto" devient par exemple "xyz". Mais "tirelir?latire" peux très bien donné comme hach "xyz".
    Cela s'appelle de la collision de hash, c'est moins trivial que cela mais c'est l'idée. 2 mots de passe différents pourraient avoir le même hash (la probabilité est tout de même très très faible, mais pas nulle)

    Citation Envoyé par abriotde Voir le message
    Conclusion, il y a 90% de chance que ce soit "toto" mais pas de certitude et inversement avec "xyz" on ne peux pas retrouver informatiquement le mot de passe. Autre conséquence, si votre mot de passe était "tirelir?latire" et que comme probablement beaucoup vous utilisé le même pour vos mail / facebook... Les hackeur ne pourront pas accéder a votre compte mail avec "toto".
    Je ne suis pas d'accord avec ta conclusion.
    Si ton mot de passe est "toto", que son hash est "xyz" et que le mot de passe "tirelir?latire" donne le même hash "xyz" alors ti pourras utiliser indifférement le mot de passe "toto" ou "tirelir?latire".

    Le contrôle du mot de passe se fait uniquement en vérifiant l'égalité du hash de ce que tu as saisi avec le hash qui est dans la base de données, donc les 2 mots de passe seront acceptés
    Raymond
    Vous souhaitez participer à la rubrique Réseaux ? Contactez-moi

    Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau.
    e-verbe Un logiciel de conjugaison des verbes de la langue française.

    Ma page personnelle sur DVP
    .

  8. #8
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    Citation Envoyé par Victor Vincent Voir le message
    ...A ce propos, Conte a expliqué qu'il prend la vie privée des créateurs au sérieux...
    Si c'était vraiment le cas, il n'y aurait jamais eu de vol. Surtout aujourd'hui. Il est tout simplement inexcusable, et encore moins avec les mensonges qu'il émet, tout cet amalgame fatras de blabla inutile qui m'écoeure.
    .I..

  9. #9
    Membre éclairé
    Avatar de Ekleog
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2012
    Messages
    448
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Janvier 2012
    Messages : 448
    Points : 879
    Points
    879
    Par défaut
    Je vois des gens qui réagissent, et je me dis "ah, c'est bien, il y a de la réaction". Et puis là, je lis l'article et découvre les réactions…

    Cela fait quelques années que je n'ai plus participé activement sur developpez.net ; principalement par manque de temps. Mais voir des réactions aussi incompréhensible me pousse à envoyer au moins ce message ; en espérant que developpez.net n'est pas devenu un nid à haine pendant mon absence.

    La sécurité informatique est un domain très difficile à mettre en place. Ici, ils se sont rendus compte qu'un serveur de développement était du mauvais côté du pare-feu. Je ne vous en veux pas de croire que c'est une erreur de débutant, mais depuis que j'ai arrêté de poster sur ce site j'ai aussi commencé à administrer quelques serveurs. Eh bien c'est simple : les serveurs ne sont pas disposés au sol avec un grand cercle rouge autour de la DMZ, non. Les sysadmins croyaient sans aucun doute que le serveur était à l'abri derrière le pare-feu ; et ont découvert que ce n'était pas le cas. Exemple tout bête : avec l'arrivée d'IPv6, beaucoup de pare-feux disparaissent simplement complètement : vu qu'il faut dupliquer les règles de pare-feu pour IPv6 et pour IPv4, un certain nombre de serveurs peuvent donner l'impression d'être bien configurés alors qu'en fait ce n'est pas le cas.

    Alors ils ont fait une erreur, oui ; une erreur bête, oui ; mais il y a beaucoup de points d'échec en sécurité informatique.

    Maintenant, passons aux données perdues, et observons pourquoi les réactions du genre "ils ne font pas attention à la sécurité" sont simplement ridicules. Les données récupérées sont chiffrées en RSA2048. Ce qui signifie qu'elles sont en sécurité pour au moins une dizaine d'années, en considérant que la personne qui les a récupérées a plus ou moins la capacité de calcul d'une agence gouvernementale. Et pour la partie sur les mots de passe, bcrypt est un algorithme de hashing très efficace également ; alors à moins d'avoir un mot de passe trivial (ce que malheureusement la plupart des mots de passe sont ; mais ce n'est pas de la faute de cette entreprise), il ne sera jamais repéré.

    Voilà, j'espère qu'on va arrêter de cracher du venin sur tout le monde : en raison du paragraphe précédent de ma réponse, j'estime que cette entreprise mériterait plutôt d'être citée en exemple pour avoir bien mis en place la défense en profondeur (ici chiffrer la base de données et hasher les mots de passe), plutôt que d'être pointée du doigt pour une faille de sécurité. Parce que tout le monde a, un jour ou l'autre, une faille de sécurité, et que c'est à ce moment qu'il faut s'assurer qu'on ne puisse rien en tirer, ce qui me semble être le cas ici.

    Bref, j'arrête mon pavé ici.

    Bonne journée à tous,

    Léo Gaspard
    Ekleog

  10. #10
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Novembre 2009
    Messages
    14
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2009
    Messages : 14
    Points : 25
    Points
    25
    Par défaut exemple ancien
    Il y a prescription, puisque 20 ans ont passé :
    Dans une entité travaillant pour la Défense, on m'a demandé, entre autres, de vérifier la sécurité de serveurs de données dans une division.

    Quand le directeur informatique a eu en main les preuves des problèmes rencontrés sur certains serveurs, il est devenu tout vert !
    Notamment un serveur ultra confidentiel ... vous rappelez-vous des fameuses vedettes de guerre que la France n'avait, soit-disant, jamais vendu à Taïwan ? Ben, les ingénieurs français s'occupaient déjà de la 3eme mise à jour des logiciels embarqués, pffff ! et le serveur était "open" !

    En fait les ingénieurs en avaient tellement marre de se connecter et de se déconnecter de nombreux serveurs, car les informations étaient réparties sans vraiment tenir compte des projets, qu'ils enlevaient les mots de passe, ou les écrivaient sur des postits etc ...

    Le temps de remettre de l'ordre, de moderniser le matériel ... je suis resté un an au lieu des 3 mois prévus !
    Et je suis parti avec une prime exceptionnelle, remise par le DG, de 12500 euros (en 1995 !)

    Pour en revenir à plus de généralité, je suis très inquiet sur la sécurité actuelle des réseaux, surtout Internet.
    Moi qui ait vécu (subi) le virus Melissa dans une grande entreprise en 1999, je suis affolé car les pirates ont des moyens 100.000 fois plus perfectionnés qu'à l'époque !
    Si le réseau Internet n'est pas revu de fond en comble, il v y avoir des cataclysmes ...
    A+

  11. #11
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    Citation Envoyé par Ekleog Voir le message
    ... Je ne vous en veux pas de croire que c'est une erreur de débutant
    Donc pour toi un patron qui paie des employés au lance pierre et qui embauche des débutants, qui font par conséquent du travail de débutant, pour augmenter ses propres marges, c'est donc parfaitement excusable ?

    Citation Envoyé par Ekleog Voir le message
    ...IPv6 et pour IPv4, un certain nombre de serveurs peuvent donner l'impression d'être bien configurés alors qu'en fait ce n'est pas le cas.
    Je te fais une image : "J'ai construit votre maison, elle me donne l'impression d'être bien construite, mais ça n'est pas le cas." Et là aussi c'est pas de la faute de l'admin système ? Il y a vraiment des dizaines et des dizaines et des dizaines de serveurs ? Arrêtons la blague. 3 ou 4 serveurs au mieux, s'ils sont répliqués, une dizaine. Un bon admin système qui bosse à temps plein ne peut pas passer à côté d'une faute aussi grossière. Encore une fois, je ne blâme pas l'admin système mais le patron. Et au travers de son discours, j'en ai tellement entendus dans le genre que c'est presque sûr qu'il se confond en excuse, mais voici son message décrypté en clair : "j'ai voulu me faire un max de thunes sur votre bon dos de moutons, j'y suis parvenu, mais ça a demandé de faire travailler plein de personne incompétentes pour sortir les salaires les plus bas et donc là je m'excuse".

    Citation Envoyé par Ekleog Voir le message
    ...cette entreprise mériterait plutôt d'être citée en exemple pour avoir bien mis en place la défense en profondeur
    Ah. Elle a crée un coffre fort gigantesque, absolument indestructible, et a laissée la porte du coffre fort grand ouvert. Tu as raison, je pourrai la citer en exemple, mais pas pour les mêmes raisons.
    Ton discours comporte une erreur de taille : tu mélange chiffrement, sécurité logicielle = ce qui a été mis en place par les développeurs, avec l'administration système, qui n'a pas été à la hauteur. Il ne faut pas mélanger admin. système et développement (même si pour des très petits sites des gens doivent faire les deux, on les appelle "webmasters").
    .I..

Discussions similaires

  1. Réponses: 19
    Dernier message: 16/04/2010, 19h49
  2. Connexion et échange de données entre deux pc sur internet
    Par neodelphi2007 dans le forum Web & réseau
    Réponses: 7
    Dernier message: 30/04/2009, 19h58
  3. [DOM] Données "utilisateur" avec les evenements DOM
    Par pedouille dans le forum Général JavaScript
    Réponses: 3
    Dernier message: 13/12/2005, 18h07
  4. comment lister les sources de données utilisateur
    Par lassad dans le forum Bases de données
    Réponses: 1
    Dernier message: 12/10/2005, 14h56
  5. [Kylix] Sauvegarde de donnée utilisateur....
    Par Eclypse dans le forum EDI
    Réponses: 1
    Dernier message: 11/05/2002, 18h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo