IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un site de rencontres expose une base de données avec des informations sur 1,5 millions « d'infidèles »


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 568
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 568
    Points : 155 731
    Points
    155 731
    Par défaut Un site de rencontres expose une base de données avec des informations sur 1,5 millions « d'infidèles »
    Un site de rencontres expose une base de données avec des informations sur 1,5 millions « d'infidèles »,
    les mots de passe étaient disponibles en texte clair

    Un réseau de rencontres en ligne qui se décrit comme une destination pour trouver des partenaires pour des affaires extra-conjugales « discrètes », a divulgué des données personnelles de plus de 1,5 million de ses utilisateurs.

    C & Z Tech Limited est une entreprise basée en Nouvelle-Zélande qui est propriétaire de ces sites de rencontres ainsi que des applications mobiles HaveaFling.mobi, HaveAnAffair.mobi et HookUpDating.mobi. L’ensemble de ces visiteurs se chiffre à 31 millions et 6,8 millions se sont connectés ces 90 derniers jours. Dans ce cas qui rappelle celui d’Ashley Madison, contrairement à ce dernier qui a été victime d’un piratage, l’entreprise a laissé exposée sa base de données, non sécurisée et accessible à tous.

    C’est en tout cas ce qu’a indiqué le MacKeeper Security Research Center qui a rappelé que dans le cas d’Ashley Madison, des familles ont été détruites, ainsi que des mariages et dans certains cas des suicides ont été commis. « Connaissant le danger associé à une divulgation de ce type de données, il y a un besoin supplémentaire de protection des données et de sécurité », a souligné le centre de recherche.

    Au total, une base de données contenant des informations sur 1,5 million de personnes a été exposée. Parmi ces données figurent des noms d’utilisateurs, des adresses mail, des mots de passe en texte clair, le sexe, la date de naissance, la photo de profil, les préférences, les habitudes de consommation et le pays d'origine.

    Le centre a immédiatement alerté l’entreprise et a reçu un courriel de la part d’un certain Edward dans l’équipe Have An Affair : « merci de nous en avoir informé, la base de données MongoDB était en live seulement pendant quelques heures tandis que nous testions la migration des données de SQL à MongoDB, donc la plupart d'entre elles étaient seulement des données fictives avec des courriels et des mots de passe générés au hasard, il ne s’agissait en aucun cas d’une disponibilité en live de notre base de données. Nous avons fermé la base de données il y a environ une heure, et ne constatons aucune violation de données. Vous êtes les seuls à l’avoir détecté. Encore une fois, merci de nous l’avoir fait savoir et nous tâcherons de la sécuriser avant de la remettre en live à nouveau ».

    Mais le centre n’est pas du tout convaincu par cette réponse. Bien qu’il reconnaisse que ce type de réponse est plutôt banal, le centre confie « vraiment douter » qu’il s’agisse d’une base de données test vu le type de fichiers exposés mais surtout le grand nombre de comptes. Et de rappeler que « notre équipe de sécurité a conservé une copie de cette base de données pour des besoins de vérifications ». D’ailleurs, certains médias en ont obtenu une copie et ont été en mesure de vérifier son authenticité puisqu’ils ont pu parler avec quelques personnes figurant dans cette base de données. Ces personnes ont indiqué avoir reçu un courriel de la part de l’entreprise qui leur demandait de changer leur mot de passe aussitôt que possible sans réellement leur expliquer pourquoi, se bornant à évoquer une « mise à jour du système pour des raisons de sécurité ».

    Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on puisse parler de fuite de données ? »

    en savoir plus sur Have an affair (iTunes)

    Source : billet MacKeeper

    Voir aussi :

    Des chercheurs ont trouvé des failles dans le système de protection de mots de passe d'Ashley Madison, qui fait appel à la fonction de hash bcrypt
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    Ingénieur de recherche
    Inscrit en
    janvier 2012
    Messages
    323
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur de recherche
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : janvier 2012
    Messages : 323
    Points : 876
    Points
    876
    Par défaut
    Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué

  3. #3
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 711
    Points : 4 417
    Points
    4 417
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Si la base de données est désormais chiffrée, MacKeeper s’interroge tout de même sur une question d’un tout autre ordre : « combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ? »
    ??

    Soit les données sont protégées, soit elles le sont pas.
    L'argument "les données ont été exposées; mais comme c'était seulement 10 minutes, ça compte pas." est totalement stupide.

    J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime.

  4. #4
    Membre éclairé Avatar de MagnusMoi
    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2013
    Messages
    134
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2013
    Messages : 134
    Points : 799
    Points
    799
    Par défaut Au bûchet !!!
    Citation Envoyé par Iradrille Voir le message
    J'aimerai bien voir une boite (et toutes les suivantes dans le même cas) être condamné durement pour ce genre de fuites. C'est trop facile de ne rien sécuriser (ou mal le faire) et de se faire passer pour la victime
    Il y a peut être moyen que la cnil leur tombe dessus !


    A mes yeux cette entreprise est une potentiel victime d'attaque (si des gens ont profité de la mise en live de cette base à des fins criminels), mais également, et surtout Coupable de négligence grave !
    D'ailleurs selon le droits français, si tu te fais volé chez toi parce que tu as oublié un matin de fermer ta porte à clef ou une fenêtre, il arrive que l'état te poursuive pour incitation à commettre un délit !!! (arrivé dans mon entourage !)
    Donc oui, au moins par justice envers ses clients, il faut condamner cette entreprise pour négligence coupable !

    Parce que : se faire hacker sa base soit (et encore là c'est de la provocation ... )
    Mais juste n'avoir aucune sécurité pendant un laps de temps, et stocker les mots de passe en claire !!!
    Non mais WTF
    Surtout que la majorité des gens comme madame Michu (no sexist offense dude), non alerte et conscient en matière de sécurité, utilisent le même mots de passe pour leur boites courriel et leur compte associés (skype, twitter, youp...tube )
    Donc bonjour les dégâts pour ces gens !

    Et à la question :

    combien de temps les données sensibles peuvent être exposées et non sécurisées avant qu’on ne puisse parler de fuite de données ?
    La réponse est simple : 0 secondes.
    Une tasse fuit quand il y a un trou dedans, que se soit la société/organisation possédant la tasse et le café qui épongent, ou de vilain pas gentils ou encore des gentils samaritain (no religious offense dude), une fuite ne se caractérise pas par qui éponge et à quelle vitesse.
    True Story Bro

  5. #5
    Membre habitué Avatar de bclinton
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    47
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 47
    Points : 146
    Points
    146
    Par défaut
    Comment un pro peut-il stocker un mdp en clair dans une base de données ?

    Là c'est carrément une faute professionnelle.

  6. #6
    Membre éclairé Avatar de Vulcania
    Homme Profil pro
    Architechte Logiciel
    Inscrit en
    juillet 2011
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Architechte Logiciel
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2011
    Messages : 88
    Points : 857
    Points
    857
    Par défaut
    Comme au dessus, je suis d'accord, les mdp en clair dans la bdd, c'est comme jouer à la roulette russe avec un automatique

  7. #7
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2008
    Messages
    831
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : décembre 2008
    Messages : 831
    Points : 2 619
    Points
    2 619
    Par défaut
    Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
    Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)

  8. #8
    Candidat au Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aveyron (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : octobre 2016
    Messages : 1
    Points : 2
    Points
    2
    Par défaut
    En même temps quand on voit la gueule du site... On peut imaginer que le back a 15 ans de retard comme le front.

  9. #9
    Membre extrêmement actif
    Profil pro
    Développeur
    Inscrit en
    mars 2012
    Messages
    1 969
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mars 2012
    Messages : 1 969
    Points : 3 257
    Points
    3 257
    Par défaut
    C'est bien fait pour leurs gueules, ils n'ont qu'à pas être infidèle
    On vit dans un monde de débauches et de violence.
    Si la réponse vous a aidé, pensez à cliquer sur +1

  10. #10
    En attente de confirmation mail
    Profil pro
    Inscrit en
    décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2010
    Messages : 555
    Points : 1 583
    Points
    1 583
    Par défaut
    Citation Envoyé par hotcryx Voir le message
    C'est bien fait pour leurs gueules, ils n'ont qu'à pas être infidèle
    On vit dans un monde de débauches et de violence.
    À vu de nez, c'est plutôt un monde d’intolérance

  11. #11
    Membre émérite

    Homme Profil pro
    Ranger
    Inscrit en
    avril 2006
    Messages
    661
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 81
    Localisation : France

    Informations professionnelles :
    Activité : Ranger
    Secteur : Service public

    Informations forums :
    Inscription : avril 2006
    Messages : 661
    Points : 2 774
    Points
    2 774
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Freem Voir le message
    Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
    Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)
    Il y a pire : quand tu sais pertinemment que les mots de passe doivent être hachés en base de données pour des raisons évidentes de sécurité, mais que ton supérieur exige que la récupération du mot de passe donne exactement le mot de passe d'origine du Client, excluant de fait le hachage, ne laissant le choix que d'un stockage en clair ou d'un chiffrement réversible. C'est du vécu, sur un ancien boulot et je vois un psy depuis ce jour pour tenter de m'exorciser.

  12. #12
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 785
    Points : 2 748
    Points
    2 748
    Par défaut
    Citation Envoyé par Theta Voir le message
    Je comprends pas comment ce genre de truc peut arriver alors que le cryptage de la base de donnée est une des première chose qu'on est censé apprendre en tant que dev web, même dans les tutos pour débutants c'est généralement expliqué
    Soulager les serveurs, diminuer la facture d'électricité, diminuer les temps de connexions, économiser sur les certificats de sécurité tiers, les contrats de maintenances. Ces sites prétextent des services (douteux), mais leur vraie finalité est de faire du fric vite et facilement.

  13. #13
    Membre confirmé Avatar de athlon64
    Profil pro
    Inscrit en
    février 2009
    Messages
    238
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2009
    Messages : 238
    Points : 518
    Points
    518
    Par défaut
    Bonjour,

    pour moi c'est tout simplement une méconnaissance du métier ou soit ils l'ont constaté mais qu'ils avaient pas les solutions techniques pour

    corriger la faille. Ou encore ils ont sous traité lol, c'est en tout cas incroyable de voir ça...

    Les Hôpitaux de Paris ont perdu 80 millions d'euros de factures suite à une migration vers un nouveau logiciel...
    C'est peut être moins bête ? Un back up connait pas ? Il s'agit des millions là...

  14. #14
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 711
    Points : 4 417
    Points
    4 417
    Par défaut
    Citation Envoyé par Freem Voir le message
    Juste pour savoir: ça vous ai arrivé de réinitialiser un pass de pole emploi parce que vous l'avez perdu? Moi oui: ils renvoient le même
    Donc, oui, un pro devrait, mais non, on ne le fais manifestement pas tous. (bon, normallement ya pas les pref. de partenaires sur pole emploi, mais bon....)
    Perdu le pass pour gérer mon compte en ligne. Je passe à la banque : la madame fait 2/3 trucs sur son PC me tend un petit bout de papier avec "1234" marqué dessus, puis m'épelle le mot de passe à voix haute.
    J'ai un peu gueulé, elle m'a laissé le redéfinir depuis son poste (puis rechangé chez moi, on sait pas se qui peut trainer sur son poste :o).

    Honnêtement, je sais pas si c'est de la naïveté ou un manque (sérieux) de professionnalisme.

    Citation Envoyé par MagnusMoi Voir le message
    Il y a peut être moyen que la cnil leur tombe dessus !
    (C'est un troll sur la CNIL ? Les conseils sont bons, même si 8 caractères c'est peu pour quelque chose de sérieux, et si on se rappelle de son pass grâce à une phrase, autant utiliser la phrase).

    La CNIL a trop peu de pouvoirs et elle n'a pas les moyens d'imposer une sanction qui fera réfléchir tout le monde sur la sécurité.

  15. #15
    Membre régulier
    Inscrit en
    mai 2006
    Messages
    211
    Détails du profil
    Informations forums :
    Inscription : mai 2006
    Messages : 211
    Points : 102
    Points
    102
    Par défaut Ahah
    J'ai un entretien avec eux la semaine prochaine...

    Si vous avez des idées de questions n'hésitez pas

Discussions similaires

  1. Réponses: 5
    Dernier message: 04/10/2016, 02h15
  2. Alimenter une base de données avec des fichiers xml
    Par anaas dans le forum Administration
    Réponses: 2
    Dernier message: 16/07/2012, 12h02
  3. Exposer une base de données via Web services
    Par sharkillator dans le forum Services Web
    Réponses: 0
    Dernier message: 24/12/2009, 09h44
  4. [AC-2003] gérer une base de données avec des codes barres
    Par franklin59 dans le forum Modélisation
    Réponses: 1
    Dernier message: 09/12/2009, 16h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo