+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    657
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 657
    Points : 14 260
    Points
    14 260

    Par défaut Une fuite de données chez GeekedIn expose plus de 8 millions de comptes Github sur la toile,

    Une fuite de données chez GeekedIn expose plus de 8 millions de comptes Github sur la toile,
    chaque utilisateur peut vérifier s’il est concerné par l’incident

    Il y a quelques jours de cela, Troy Hunt, MVP et directeur régional chez Microsoft, a reçu un fichier de 594 Mo que lui a envoyé un inconnu sur la toile. Selon les informations fournies par le quidam, ce fichier serait une sauvegarde MongoDB appartenant au site GeekedIn et datant du mois d’août.

    Après avoir ouvert le fichier, grande fut la surprise de Troy en constatant qu’il renfermait les informations personnelles de plusieurs personnes comme leurs noms, prénoms, adresses géographiques, plus de 8,2 millions adresses email GitHub. En parcourant ce lot d’emails, Hunt a noté que 7,1 millions se terminaient par « @github.xyzp.wzf.xyzp.wzf ». Selon Hunt, les adresses email GitHub qui se terminaient ainsi sont celles appartenant à des personnes qui n’ont pas d’adresse électronique GitHub publiquement exposée dans leur compte GitHub. À côté de ces adresses, Hunt a également pu extraire environ 15 000 adresses qui se terminaient par @bitbucket.xyzp.wzf.

    En menant des investigations sur le Net, Hunt a pu découvrir que GeekedIn, le site à partir duquel cette fuite de données est survenue, est en fait une entreprise de recrutement de professionnels dans le domaine technologique. Le lien est donc établi. Selon Hunt, cette entreprise parcourt les différents sites IT afin de collecter les données sur les professionnels de ce domaine pour renseigner sa base et ensuite revendre les données recueillies. Selon les informations acquises par Hunt, GeekedIn aurait une base de données de 65 Go sur les professionnels IT. En interrogeant les données à sa disposition, Hunt a même pu constater que ses données personnelles figuraient dans cette base de données.

    Nom : GeekedIn-modele-eco.png
Affichages : 6478
Taille : 36,0 Ko

    Toutefois, même s’il est vrai que les informations personnelles sur les développeurs peuvent être obtenues en toute légalité en parcourant la plateforme GitHub, il n’en demeure pas moins qu’elles ne doivent pas être utilisées à des fins commerciales sans le consentement des personnes concernées.

    Hunt a donc immédiatement informé GitHub qui a fait cette publication : « Les tierces parties extraient fréquemment les données GitHub publiques pour diverses raisons, telles que la recherche ou l’archivage. Nous autorisons ce type d’extraction tant que les informations personnelles de l’utilisateur ne sont utilisées qu’aux fins pour lesquelles elles ont donné ces informations à GitHub. L’utilisation d’informations extraites à des fins commerciales viole notre déclaration de confidentialité et nous ne tolérons pas ce type d’utilisation ».

    Hunt affirme avoir contacté GeekedIn tout comme GitHub l’aurait fait. Le site aurait reconnu l’incident et promis d’appliquer de meilleures mesures de sécurité. Aussi, pour permettre à d’autres personnes de savoir si la fuite de données contient également leurs informations personnelles ou non, Hunt a utilisé le service de notification du site haveibeenpwned.com pour renseigner les personnes qui le désirent. Pour cela, il suffit d’aller sur l’adresse haveibeenpwned.com/NotifyMe et vous entrez votre adresse email qui pourrait avoir été piratée. Vous recevrez un message de confirmation dans la boîte électronique renseignée. En repartant dans votre messagerie, vous serez amené à cliquer sur le lien indiqué pour vérifier si vos informations personnelles sont contenues dans la base de données exposée par GeekedIn.

    Source : Troy Hunt Blog

    Et vous ?

    Êtes-vous concerné par cette fuite de données ? Quelles sont les mesures que vous pouvez préconiser pour éviter ce genre de déboire ?

    Que pensez-vous des méthodes de revente de données personnelles sans le consentement des utilisateurs ?

    Voir aussi

    Les données de 13 millions d'utilisateurs de MacKeeper étaient diffusées en clair, ce type de problème est-il récurrent ?

    La Rubrique Développement Web, Forum Sécurité, Cours et tutoriels Développement web, FAQ Web
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 16
    Points : 74
    Points
    74

    Par défaut

    Il n'y a que moi que ça choque qu'il faille aller taper son adresse e-mail sur un site tiers pour savoir si on a été attrapé dans ce coups de filet ? C'est comme si vous dites "attrapez-moi, attrapez-moi !"...

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS
    Inscrit en
    avril 2013
    Messages
    1 467
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 467
    Points : 4 895
    Points
    4 895
    Billets dans le blog
    6

    Par défaut

    @Roadkiller non tu n'est pas le seul mais les gens penserons qu'au pire ils recevrons un peut de spam vite fait trié par la filtre ^^
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

  4. #4
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2016
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 20
    Localisation : France, Morbihan (Bretagne)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : septembre 2016
    Messages : 42
    Points : 91
    Points
    91

    Par défaut

    Citation Envoyé par Roadkiller Voir le message
    Il n'y a que moi que ça choque qu'il faille aller taper son adresse e-mail sur un site tiers pour savoir si on a été attrapé dans ce coups de filet ? C'est comme si vous dites "attrapez-moi, attrapez-moi !"...
    Personnellement j'ai totale confiance en ce site

  5. #5
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 829
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 829
    Points : 40 602
    Points
    40 602

    Par défaut

    Citation Envoyé par Roadkiller Voir le message
    Il n'y a que moi que ça choque qu'il faille aller taper son adresse e-mail sur un site tiers pour savoir si on a été attrapé dans ce coups de filet ? C'est comme si vous dites "attrapez-moi, attrapez-moi !"...
    haveibeenpwned est un site de confiance (créé par Troy Hunt, l'expert en sécurité dont parle l'article), tu ne risques rien.

  6. #6
    Membre expérimenté
    Homme Profil pro
    Consultant Ingenierie mécanique
    Inscrit en
    mars 2006
    Messages
    750
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Ingenierie mécanique
    Secteur : Transports

    Informations forums :
    Inscription : mars 2006
    Messages : 750
    Points : 1 653
    Points
    1 653

    Par défaut

    d'un autre coté je comprend pas la fuite. j'ai mal comprit peu être mais j'ai comprit que les infos en question recueillis par GeekedIn sont disponibles en parcourant github.

    donc meme si GeeKedIn, s'est fait piraté et volé sa BD, les données obtenue sont au pire publiques non ?

  7. #7
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 16
    Points : 74
    Points
    74

    Par défaut

    C'est ce que j'ai compris de l'article aussi. GeeKedIn a agrégé des données publiques chez lui, puis c'est fait voler sa BDD. Ils se sont fait grosso modo fait voler leur travail mais ça ne change rien pour l'utilisateur de github dont son compte n'a été compromis d'aucun manière, juste son profil visité. Du moins, c'est ce que je comprends.

  8. #8
    Rédacteur
    Avatar de pi-2r
    Profil pro
    Inscrit en
    juin 2006
    Messages
    1 439
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 1 439
    Points : 2 206
    Points
    2 206

    Par défaut

    Effectivement, GeeKedIn ne faisait que scrapper les profils Github, rien d'alarmant coté Github car les comptes ne sont corrompu.
    Les pièges de l'Internet
    Helix, réponse à une intrusion
    Beta: Monster SEO


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j’ai vu si loin, c’est que j’étais monté sur des épaules de géants." Isaac Newton

Discussions similaires

  1. Réponses: 5
    Dernier message: 14/06/2016, 05h25
  2. Réponses: 21
    Dernier message: 17/02/2016, 16h22
  3. [2008R2] Mettre à jour une base de données chez un client
    Par vdubreil dans le forum Administration
    Réponses: 5
    Dernier message: 25/10/2014, 10h22
  4. [Encodage] Probleme de liaison entre un formulaire et une base de données chez OVH
    Par Raphaelphp dans le forum PHP & SGBD
    Réponses: 11
    Dernier message: 29/11/2011, 12h22
  5. Réponses: 11
    Dernier message: 14/10/2009, 20h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo