Coup dur pour l'une des plus grosses plateformes de blog de France. En effet, on vient tout juste d'apprendre que Skyblog avait été victime d'une attaque. Un pirate aurait en effet profité d'une faille dans le dernier service du groupe, Waka, pour pénétrer sur les serveurs de la plateforme et mettre la main sur plus de 30 millions de mots de passe. Pas de doute, Mickael Vendetta doit trembler...
C'est en effectuant l'audit de leurs serveurs que l'équipe technique de Sklyblog est tombée sur un étrange fichier, nommé "coucou", et quelques scripts plutôt embarrassants. L'alerte a évidemment été données mais c'était déjà trop tard, le vilain pirate ayant eu tout le temps de faire ce qu'il avait à faire. Résultat des courses, ce dernier aurait donc mis la main sur plus de 30 millions de mots de passe. De quoi doper un bon paquet de dictionnaires...
Le plus drôle, dans cette histoire, c'est que le pirate a profité d'un tout nouveau service du groupe, Waka. Oui, un service plutôt bien décrié dans le milieu (et si vous voulez savoir pourquoi, je vous invite à aller lire l'article de Korben sur le sujet). Quoi qu'il en soit, si vous avez un blog hébergé sur cette plateforme, autant dire qu'il est fortement recommandé de changer votre mot de passe.
Et puisqu'on en parle, voici quelques règles de base à respecter :
- Un mot de passe doit comporter le maximum de caractères possibles.
- Un mot de passe doit comporter des lettres et des chiffres.
- Un mot de passe doit comporter des caractères spéciaux.
- Un mot de passe ne doit pas comporter de mots.
Le tout étant bien évidemment de créer un mot de passe difficile à trouver mais facile à mémoriser...
Lâchez vos comm' lol !
« coucou »,
C’est abusé ! En même temps fallait bien que ça arrive :)
@Francis: Bah, ce qui m’étonne, c’est qu’ils ne se soient pas faits avoir avant en fait.
J’adore !
Information twittée :)
Pingback: Tweets that mention Skyblog piraté : 30 millions de mots de passe dans la nature | Fredzone -- Topsy.com
Je l’ai déjà dit sur Twitter mais j’le redis, j’aime le « Mickal Vendette doit trembler ».
Bref, au moins ils ont eu l’honnêteté de le dire aux bloggers. Ils auraient pu cacher la vérité.
c koi 7 merd b0rdl c 1 vrai galR ce pirat put1 m0 bl0g va m0urir au Sec0ur
>>Horrible.. Je suis sur que le mot de passe le plus courant est kikoolol :)
Quoique avec le language SMS ça peut te faire des pass de dingue.
en tout cas HA HA HA HA
Autrement dit : les mots de passe skyblog sont stockés en clair.
Un petit tuto pour faire des mots de passe efficace :
www . geeksleague . be /internet/cheat-creer-et-decliner-un-mot-de-passe-efficace
Pingback: Quelques actes de Piraterie « Journal du Hack
Une bouze qui coute cher, avec failles en prime, sur une plateforme dont la réputation n’a plus à être prouvée.
Vu le public ciblé, les 30 millions de passes risquent de ne pas être très utiles.
Ymeric
Euh, ils stockaient les mot de passe en clair ?
Si les mots de passent étaient bien cryptés dans la base de donnée, les gens avec des mdp suffisamment complexes n’ont pas trop à trembler.
Sinon c’est la loose.
@A.rnaud:
A noter qu’il y a plus d’un an, la Commission Nationale Informatique et Liberté (CNIL) avait rendu visite à Skyrock pour un contrôle. Il avait été constaté, à l’époque, que les mots de passe des blogueurs étaient stockés sans être chiffrés. Nous avons eu confirmation que le chiffrement n’avait pas encore été effectué en ce mois de mai.
On apprend ça en maternelle quoi. Ou presque.
En même temps, quand on voit la tête de certains Skyblog, ça fera pas de mal un peu de ménage =D !
Il aurait pu en profiter pour supprimer tous les skyblogs :(
C’est pas tres cool ca, est ce qu’ils ont chopé les personnes qui ont fait ca ?
Juste par curiosité, j’aimerai bien connaitre le mot de passe de Mickael Vendetta :)
Normalement les mdp sont cryptés d’ailleurs.
C’est sur que pour passer lse mot de passe en md5 ça prend des années comme modif :-)
@Jerem: C’est vrai, ils étaient plus à un rm -rf / près quoi ! :(
hé oui, Skyblog powa, Difool et Romano on apporter le trafic mais derrière se ne sont pas des webmasters ;)
Pas étonnant qu’il est fait un site gouvernemental, entre non professionnalisme et plagiat on a la dreamteam du net…
@French_Dandy: Merci :)
@G.F: Tôt ou tard, ça se serait su et ça aurait été encore pire s’ils avaient dissimulé l’information.
@dhoko: +10 :mrgreen:
@Jérôme M.: Faut croire mais ça me paraît bizarre quand même.
@Ymeric: Si, pour les dictionnaires brute force c’est plutôt intéressant, ça te permet de te constituer une chouette banque de MDP :)
@A.rnaud: Bah visiblement ils ne l’étaient pas (à en croire Jérome)
@Jérôme M.: Là c’est vachement flippant quand même, hein… Enfin bon, après tout, on n’est plus à ça près ^^
@Thomas: Huhu, faut pas le dire trop fort sinon Mickael va nous tomber dessus.
@Jerem: Marf, ça aurait fait moins de concurrence.
@lionel: Pas encore, visiblement le mec a bien effacé ses traces derrière lui.
@e-access: Ils ne le sont pas chez Skyblogs :D
@reiki dojo: Huhu ^^
@TiteLive: Le gars doit peut-être avoir un Skyblog va savoir ^^
@E-seo: Tu m’étonnes, n’empêche leur Waka va achever leur réputation je pense.
On peut remarquer que leur réputation est depuis… en chute libre, suffit de regarder la courbe Alexa…
Pres de 30 millions de comptes a l’air libre, ca fait quand même un sacré volume…merci le process de sécurité
Pingback: Beau V – News du 17 au 23 mai 2010
quelle bande de cornichon c FAUX