COMPTOIR
register

Composé par ————— —— 14045 vues

Le forum d'Ubuntu s'est fait hacker

Canonical a annoncé à la fin de la semaine dernière que le forum de son système d'exploitation Ubuntu a été hacké. Par injection de code SQL, le pirate a pu accéder à la base de donnée des utilisateurs, contenant deux millions de noms d'utilisateurs, avec leurs adresses courriel et IP, mais pas les mots de passe qui sont sécurisés et que l'attaquant n'a apparemment pas récupérés.

 

La firme a vite consolidé les fuites, et assure que le petit canaillou qui s'est glissé chez eux n'a eu accès à rien d'autre. C'était une attaque de type "je balance du code SQL là où il ne devrait pas y en avoir et je lis ce qui en ressort", quelque chose de super basique qui n'arriverait même pas à nous tenir 10 minutes en haleine devant un épisode de Mr. Robot. Et pourtant, un gros groupe comme Canonical a pu se faire avoir. C'est la magie du code, on pense avoir tout sécurisé et il se trouve qu'un petit malin arrive à trouver la brèche qui lui permettra de prouver que non (et d'agrémenter son CV d'une ligne au passage). Sale coup pour la firme et pour les deux millions d'utilisateurs dont les identifiants vont venir garnir le catalogue déjà fourni du Dark Web. Par mesure de précaution, pensez à mettre à jour votre mot de passe et on ne saurait que vous conseiller d'utiliser des courriels jetables (ou tout du moins pas votre boite principale) pour ce genre de comptes utilisateurs.

 

ubuntu logo 2015

Un poil avant ?

SoftBank se paie ARM pour £23,4 milliards. Merci le Brexit !

Un peu plus tard ...

La RX480 Devil de Powercolor a enfin des fréquences

Les 14 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Arobase40, le Mardi 19 Juillet 2016 à 11h29  
par Un #ragoteur connecté embusqué le Mardi 19 Juillet 2016 à 10h03
ça veut dire quoi ça???
spa parce que t'es stagiaire que t'es forcément mauvais...
Pas forcément mauvais, mais souvent pas très concerné ni très impliqué, ni très concentré : même pas encore sorti du système scolaire, pas payé ou alors au lance-pierre. Mais bon, tu auras compris que c'est souvent le cliché que l'on sort systématiquement dans ce cas de figure pour marquer à la culotte le type en charge de la gestion des serveurs. Après, on ne sait rien du contexte de l'entreprise ni de ses procédures probablement très rigides et dans ce cas la faute en incomberait à la hiérarchie et pas nécessairement à l'employé...
Par expérience, je sais qu'il y a énormément d'entreprises qui ont un mode de fonctionnement parfaitement stupide et souvent irresponsable parce que dirigées parce des c*ns.

De toute façon, je te rassure : c'était plus une blague qu'une mise en cause de la cause des stagiaires.
par Arobase40, le Mardi 19 Juillet 2016 à 11h14  
par UpsiloNIX le Mardi 19 Juillet 2016 à 07h03
Il se passe que la très très grande majorité des gens a le même mot de passe (alakon de plus !) partout !
Mouais, mais tout de même, tant qu'à être paresseux autant utiliser deux mots de passe alakon différents pour les mails ET pour les forums. Et puis de toute façon, je ne vois pas trop ce que les gars comptaient récupérer ni ce qu'ils peuvent réellement en faire avec ? Les IP sont rarement fixes et il y en a qui se font de toute façon une spécialité de pomper les adresses mails des forumeurs pour la revente à des boites de spams, et c'est pas comme s'il y avait un espoir de récupérer un n° de CB.

Je pense que c'était l'oeuvre d'un hater des systèmes Linux et/ou d'un neuneu qui voulait se faire la main histoire de faire mouiller sa gonzesse.

Sinon, j'ai toujours mes beans et mes carafes, ouf !
par Un #ragoteur connecté embusqué, le Mardi 19 Juillet 2016 à 10h03  
par Arobase40 le Lundi 18 Juillet 2016 à 17h37
Tu peux avoir le meilleurs OS+BDD mais si c'est géré par un stagiaire, ça ne changera rien.
ça veut dire quoi ça???
spa parce que t'es stagiaire que t'es forcément mauvais...
par UpsiloNIX, le Mardi 19 Juillet 2016 à 07h03  
par Arobase40 le Lundi 18 Juillet 2016 à 23h41
Je ne sais pas comment cela se passe avec les autres utilisateurs des forums, mais je n'utilise jamais le même mot de passe que celui du compte mail, donc je ne vois pas du tout l'intérêt que les gars les volent ni ce qu'ils peuvent en tirer : tout ce qu'ils peuvent me piquer c'est mes beans et/ou mes carafes...
Il se passe que la très très grande majorité des gens a le même mot de passe (alakon de plus !) partout !
par jopopmk, le Mardi 19 Juillet 2016 à 06h17  
Le temps de trouver un point d'entrée (le plus long), de comprendre le schéma puis d'extraire les données, je suis sûr qu'on peut faire un épisode entier de Mr. Robot. Par contre on risque de s'ennuyer sévère.

Pour la point d'entrée il faut voir que chaque saisie utilisateur présente potentiellement une faille pour l'injection (SQL ou autre), surtout en client léger où l'utilisateur manipule ces données à son gré.

Enfin pour les passwords il semblerait que Canonical utilisait un SSO. Du coup la table des utilisateurs ne contenait que des références externes, hashées et salées.
par Arobase40, le Lundi 18 Juillet 2016 à 23h41  
par UpsiloNIX le Lundi 18 Juillet 2016 à 22h17
Je pensais aussi, mais bon c'est peut-être un truc un peu plus tricky qu'un "html_entities" oublié sur un formulaire

C'est bizarre leur histoire de password qui n'ont pas été dérobés. Ils disent qu'ils n'étaient pas dans cette table. Je serai curieux de savoir comment ils stockent ça et pourquoi l'attaquant n'a pas été foutu de dumper l'éventuelle autre table où se trouvait les mots de passe.
Je ne sais pas comment cela se passe avec les autres utilisateurs des forums, mais je n'utilise jamais le même mot de passe que celui du compte mail, donc je ne vois pas du tout l'intérêt que les gars les volent ni ce qu'ils peuvent en tirer : tout ce qu'ils peuvent me piquer c'est mes beans et/ou mes carafes...
par UpsiloNIX, le Lundi 18 Juillet 2016 à 22h17  
par Anth0x le Lundi 18 Juillet 2016 à 17h29
Ça risque de relancer le débat de solution open source vs solution propriétaire
Non vu que ça n'a rien à voir
par XplodZ le Lundi 18 Juillet 2016 à 19h02
Je pensais que tous les frameworks aujourd'hui géraient la protection contre l'injection de code SQL
Je pensais aussi, mais bon c'est peut-être un truc un peu plus tricky qu'un "html_entities" oublié sur un formulaire

C'est bizarre leur histoire de password qui n'ont pas été dérobés. Ils disent qu'ils n'étaient pas dans cette table. Je serai curieux de savoir comment ils stockent ça et pourquoi l'attaquant n'a pas été foutu de dumper l'éventuelle autre table où se trouvait les mots de passe.

 
We've installed ModSecurity, a Web Application Firewall, to help prevent similar attacks in the future.

Il serait peut-être temps
par Shadow, le Lundi 18 Juillet 2016 à 19h33  
par Un ragoteur blond de Bretagne le Lundi 18 Juillet 2016 à 16h44
+1

Autre solution: utilisez un compte email "jetable" (genre Ya-où ou Gogole) pour chaque site où vous-vous enregistrez. C'est pénible, mais c'est la seule solution contre ces vols de données...
Laissez nous prendre des risques, c'est courageux

Sinon un hacker ou une team peut hacker absolument ce qu'il veut pour ainsi dire ....
par XplodZ, le Lundi 18 Juillet 2016 à 19h02  
Je pensais que tous les frameworks aujourd'hui géraient la protection contre l'injection de code SQL
par Arobase40, le Lundi 18 Juillet 2016 à 17h37  
par Anth0x le Lundi 18 Juillet 2016 à 17h29
Ça risque de relancer le débat de solution open source vs solution propriétaire
Parce que tu crois que les Windows (Windows+SQL Server) ou Mac OS sont plus à l'abri ???
par JumpIfBelow le Lundi 18 Juillet 2016 à 17h19
Ubuntu, 2016 et injection SQL ? Z'ont pas honte les mecs ?
Tu peux avoir le meilleurs OS+BDD mais si c'est géré par un stagiaire, ça ne changera rien.
par Anth0x, le Lundi 18 Juillet 2016 à 17h29  
Ça risque de relancer le débat de solution open source vs solution propriétaire
par JumpIfBelow, le Lundi 18 Juillet 2016 à 17h19  
Ubuntu, 2016 et injection SQL ? Z'ont pas honte les mecs ?