COMPTOIR
register

Composé par ————— —— 14992 vues

Le forum d'Epic Games s'est fait hacker, 800000 mots de passe dans la nature

Avoir une plateforme en ligne - quelle qu'elle soit - veut que l'on coure le risque d'attirer le regard d'un génie du code mal intentionné. C'est le constat qu'a pu faire Epic Games dont le forum vient d'être une nouvelle fois hacké par la faute d'une faille de sécurité due à une version obsolète de vBulletin.

 

Apparemment, le ou les hacker(s) ont pu avoir accès aux dates de naissance, adresses IP, dates d'enregistrement, adresses courriel, identifiants et mots de passe de plus de 800000 utilisateurs, ce qui fait beaucoup. Si vous êtes un fan d'Unreal ou de Paragon, il va falloir songer à changer de mot de passe (sur votre compte du forum, votre courriel et tout autre endroit où vous l'aurez utilisé), même si Epic Games estime que les mots de passe n'ont pas été récupérés dans un communiqué officiel :

 

We believe a recent Unreal Engine and Unreal Tournament forum compromise revealed email addresses and other data entered into the forums, but no passwords in any form, neither salted, hashed, nor plaintext.

 

D'après ZDNet, les mots de passe font bien partie du lot de données récupérées, mais ils sont hachés ce qui rendra difficile de les lire, même si un forcené pourrait tout à fait s'amuser à le faire. LeakedSource, un moteur permettant de savoir si vos comptes ont été compromis, a ajouté l'évènement à sa base de donnée, ce qui vous permettra de savoir si vous faites partie des malheureux qui font partie des quelque 800000 comptes qui ont fuité. (source : The Hacker News)

 

epic

Un poil avant ?

La gourmandise de Deus Ex MD est-elle confirmée par ce Performance Test ?

Un peu plus tard ...

Halo 5: Forge arrivera le 8 septembre sur le Windows Store

Les 18 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par UpsiloNIX, le Jeudi 25 Août 2016 à 18h39  
par Anth0x le Jeudi 25 Août 2016 à 14h08
J'arrive pas trop à voir le rapport puisque c'est pas un évènement IRL mais virtuelle, c'est la faute au "all-in-one" type cloud et autre truc hyper connecté qui fait que un seul identifiant suffit à avoir accès à tout.
Le rapport il est que ce n'est pas les gens/les sociétés qui font moins attention (au contraire, les emplois en sécurité explosent), mais que les hackers sont plus déterminés parce qu'il y a de l'argent à la clé.
Dans le cas d'un vol d'identité, de numéro de carte, ou de revente de tes infos personnels à des marketeux ou des gens plus ou moins proche, c'est toujours du virtuel pour toi ? Ce n'est pas parce que ça se passe derrière un écran qu'il n'y a pas de conséquence "IRL".

Si ce n'était qu'une question de mettre à jour ses softs ça se saurait, aucun système n'est parfait, et même dans des versions à jour des failles 0-DAY ça existe (CF mon lien vers exploit-db d'un exploit sur la version stable actuelle de vBulletin), et au delà du soft l'utilisation qui en est faite est parfois mauvaise.

Pour l'HTTPS, oui ça a tendance à enfin se démocratiser et encore certains ( ) ne sont pas encore au point.
Après si c'était vraiment un soucis de HTTPS, ça venait de ton réseau local, ou tu t'es pris un phishing.
Message de Un ragoteur lambda d'Ile-de-France supprimé par un modérateur : et après ça sera la couleur de la police qui ne te plaira pas, blablabla
par Anth0x, le Jeudi 25 Août 2016 à 14h08  
par Guillaume H. le Jeudi 25 Août 2016 à 10h41
Ou de plus en plus de gars qui surveillent et exploitent les failles ?
Ou les deux
par UpsiloNIX le Jeudi 25 Août 2016 à 11h07
[...] Les vols de bijoux sur les vieux (entre autre) ont également monté, faute aux vieux qui faisait moins attention que quand l'or coûtait moins cher ?
J'arrive pas trop à voir le rapport puisque c'est pas un évènement IRL mais virtuelle, c'est la faute au "all-in-one" type cloud et autre truc hyper connecté qui fait que un seul identifiant suffit à avoir accès à tout.

Après comme dit notre cher "Guru" il y a forcément plus de monde qui exploite d'avantage les failles et surveillent la moindre ouverture possible, mais c'est aussi la faute aux gros sites qui ne veulent pas se prendre la tête à faire des majs de sécurité ou rester à jour car avec des structures importantes ça demande trop de maintenance.

J'en avais déjà fait les frais sur SWTOR ou un mec avait réussi à péter mon compte car le site n'était pas en HTTPS et vu que tout était relié avec Origin... heureusement le gars du support était un petit geek bien de chez nous il a fait remonté l'info à BioWare et quelques temps après les pages de connexion était enfin des pages sécurisés, le truc pas négligeable dès la conception même du truc mais bon...
par Baba the Dw@rf, le Jeudi 25 Août 2016 à 14h08  
par UpsiloNIX le Jeudi 25 Août 2016 à 14h02
Oui aussi, mais bon si ZDnet le dit

Et si on dit salé en français, on ajoute un sel (je me demande d'où ça vient.. Peut-être que si on ajoute un sel à un repas on ne peut pas l'enlever ? )
Le sel d'un mot de passe c'est comme un condiment, c'est un petit truc qu'on ajoute pour le rendre meilleur (sécurité vs goût ici )
par UpsiloNIX, le Jeudi 25 Août 2016 à 14h02  
par Nilav le Jeudi 25 Août 2016 à 12h11
Et d'après la citation, les mots de passes ne sont pas concernés par la fuite (dans le doute, c'est quand même mieux de surveiller ça)

"revealed email addresses and other data entered into the forums, but no passwords in any form, neither salted, hashed, nor plaintext."
Ca dit que les adresses emails et d'autres données ont été révélées mais pas les MDP peu importe leur forme : "salé" (on utilise vraiment ce terme en français ? Je l'utilise toujours en anglais), haché ou en clair.
Oui aussi, mais bon si ZDnet le dit

Et si on dit salé en français, on ajoute un sel (je me demande d'où ça vient.. Peut-être que si on ajoute un sel à un repas on ne peut pas l'enlever ? )
par TheBlackPearl, le Jeudi 25 Août 2016 à 13h32  
par UpsiloNIX le Jeudi 25 Août 2016 à 09h32
Les mots de passe sont hashés pas chiffrés d'après la citation
Je dirais même plus (plus) hachés et salés.
par Nilav le Jeudi 25 Août 2016 à 12h11
Et d'après la citation, les mots de passes ne sont pas concernés par la fuite (dans le doute, c'est quand même mieux de surveiller ça)

"revealed email addresses and other data entered into the forums, but no passwords in any form, neither salted, hashed, nor plaintext."
Ca dit que les adresses emails et d'autres données ont été révélées mais pas les MDP peu importe leur forme : "salé" (on utilise vraiment ce terme en français ? Je l'utilise toujours en anglais), haché ou en clair.
Oui, on utilise bien le mot "salé".
par BloodBrother, le Jeudi 25 Août 2016 à 12h51  
c'est pas pire que de se faire voler des documents sur ses sous-marins...
par Nilav, le Jeudi 25 Août 2016 à 12h11  
par UpsiloNIX le Jeudi 25 Août 2016 à 09h32
Les mots de passe sont hashés pas chiffrés d'après la citation
Et d'après la citation, les mots de passes ne sont pas concernés par la fuite (dans le doute, c'est quand même mieux de surveiller ça)

"revealed email addresses and other data entered into the forums, but no passwords in any form, neither salted, hashed, nor plaintext."
Ca dit que les adresses emails et d'autres données ont été révélées mais pas les MDP peu importe leur forme : "salé" (on utilise vraiment ce terme en français ? Je l'utilise toujours en anglais), haché ou en clair.
par Un ragoteur qui draille de Bretagne, le Jeudi 25 Août 2016 à 11h42  
par Guillaume H. le Jeudi 25 Août 2016 à 09h43
Tout à fait !

C'est la fête ces derniers temps :/
et encore c'est la partie émergée de l'iceberg

par UpsiloNIX, le Jeudi 25 Août 2016 à 11h07  
par Anth0x le Jeudi 25 Août 2016 à 10h05
Faudrait voir les statistiques de hack des dernières années mais j'ai l'impression qu'il y a de plus en plus de négligence ?
La valeur des données personnelles a surtout explosé ces dernières années.
Pour faire une analogie, tu te souviens, il y a quelques années, lorsque le cours de l'or a énormément monté ? Les vols de bijoux sur les vieux (entre autre) ont également monté, faute aux vieux qui faisait moins attention que quand l'or coûtait moins cher ?
par Guillaume H., le Jeudi 25 Août 2016 à 10h41  
par Anth0x le Jeudi 25 Août 2016 à 10h05
Faudrait voir les statistiques de hack des dernières années mais j'ai l'impression qu'il y a de plus en plus de négligence ?
Ou de plus en plus de gars qui surveillent et exploitent les failles ?
par Anth0x, le Jeudi 25 Août 2016 à 10h05  
Faudrait voir les statistiques de hack des dernières années mais j'ai l'impression qu'il y a de plus en plus de négligence ?