Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Forum d’Ubuntu piraté : 2 millions d’utilisateurs concernés, les mots de passe épargnés

Une paille

Forum d'Ubuntu piraté : 2 millions d'utilisateurs concernés, les mots de passe épargnés

Le 18 juillet 2016 à 13h00

Canonical explique que le forum d'Ubtuntu a été victime d'une faille de sécurité à cause d'un module qui n'avait pas été mis à jour. Des données personnelles de deux millions d'utilisateurs sont dans la nature, mais pas les mots de passe en clair.

Le 14 juillet, Canonical a été informé que des pirates revendiquaient avoir récupéré des informations provenant de la base de données de son forum. Après investigation, il s'avère que c'était bel et bien le cas. Dans un billet de blog, la société s'explique.

Une brèche par injection SQL, identifiants, emails et adresses IP dans la nature

La faille se cachait dans l'extension Forumrunner de vBulletin qui était vulnérable à une attaque par injection SQL. « Cela donnait aux attaquants la possibilité de lire toutes les tables, mais nous croyons qu'ils n'ont accédé qu'à la table 'user' » indique Canonical. 

Ils ont ainsi récupéré une « portion » des données concernant tout de même deux millions d'utilisateurs. Il est question des noms d'utilisateurs, des adresses email ainsi que des adresses IP correspondantes. On retrouve également des mots de passe, mais il ne s'agit que d'une chaine aléatoire (qui est en plus hachée et salée) renvoyée par le SSO Ubuntu utilisé pour établir la connexion.

Des mesures pour éviter que cela ne se reproduise

« Nous savons que l'attaquant n'a pas pu avoir accès aux vrais mots de passe des utilisateurs » affirme Ubuntu... qui ne donne par contre aucun détail sur les algorithmes utilisés, il faut donc la croire sur parole. La société ajoute que les systèmes de mises à jour ainsi que les dépôts où se trouvent le code d'Ubuntu n'ont pas été violés. De plus, elle « pense » que les pirates n'ont pas pu écrire d'informations dans ses bases de données. De manière générale, aucun autre service ne semble avoir été touché.

Bien évidemment, les serveurs et vBulletin ont été mis à jour avec l'application des derniers patchs de sécurité. Un firewall supplémentaire a été installé (ModSecurity) et une surveillance accrue instaurée afin de vérifier que les mises à jour de sécurité de vBulletin sont correctement appliquées. Par sécurité, l'ensemble des mots de passe a été réinitialisé.

Dans tous les cas, les risques sont toujours les mêmes dans cette situation : une attaque par phishing où un pirate essaye de se faire passer pour Ubuntu afin de récupérer des données personnelles. Quoi qu'il en soit, cette affaire est également l'occasion de rappeler, une fois encore, l'importance des mises à jour et de les effectuer rapidement lorsqu'elles touchent à la sécurité.

 

 

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ah ça m’avais manqué ce genre de news. <img data-src=" />

votre avatar







Texas Ranger a écrit :



C’est difficile de chiffrer les données personnelles sur le serveur ?







C’est mettre la clé ailleurs que sous le paillasson qui est compliqué donc autant ne pas chiffré.


votre avatar







A-snowboard a écrit :



D’ailleurs, un pseudo est-il une données personnelle ? (CNIL pour les forum)





La CNIL recommande de ne pas utiliser le même pseudo sur les sites sur lesquels on s’inscrit.

Donc je pense qu’à défaut d’être une donnée personnelle, c’est un élément qui doit permettre d’en retrouver si on ne suit pas leurs recos.


votre avatar

Genre il y a 2 millions d’inscrit dans les forums Ubuntu. On sait bien que les Linuxiens ça existe pas en vrai.

&nbsp;

A tous les coups ce sont des comptes créé par des robots exploitants d’autres failles dans le formulaire d’inscription …

votre avatar







tefze1 a écrit :



La CNIL recommande de ne pas utiliser le même pseudo sur les sites sur lesquels on s’inscrit.

Donc je pense qu’à défaut d’être une donnée personnelle, c’est un élément qui doit permettre d’en retrouver si on ne suit pas leurs recos.







Faudrait que je tel à la CNIL. Je gère un forum et je me suis farcis une mise en demeure. Le mec demande la suppression totale de son compte et de ses messages (ce que j’ai fait), sous prétexte que c’est des données personnelle.



Il n’en tiendrait qu’a moi, je l’aurai laissé aller au procès mais j’ai pas que ça à foutre.


votre avatar
votre avatar

Plusieurs choses:





  • le mdp, qui peut être le même sur d’autres sites.

  • Les commentaires, qui peuvent être virulents, et qui seraient exploités par un recruteur pour se faire une idée de la personnalité du commentateur (ça vaut ce que ça vaut, je décrit seulement la pratique)

  • Les commentaires (bis) qui donnent parfois une idée de la compétence de la personne (“t’as essayé de rebooter?”)



votre avatar

<img data-src=" /> <img data-src=" /><img data-src=" />

votre avatar







desaunay a écrit :



Plusieurs choses:

le mdp, qui peut être le même sur d’autres sites.Les commentaires, qui peuvent être virulents, et qui seraient exploités par un recruteur pour se faire une idée de la personnalité du commentateur (ça vaut ce que ça vaut, je décrit seulement la pratique)Les commentaires (bis) qui donnent parfois une idée de la compétence de la personne (“t’as essayé de rebooter?”)





Ouais, j’ai eu une intrusion dans mon vieux compte Gmail à cause de la fuite MySpace (pas rigoler…).



Après c’est vrai qu’un pseudo est une mine d’or.&nbsp;


votre avatar
votre avatar

En même temps, ils n’ont qu’à pas utiliser vBulletin (logiciel propriétaire). <img data-src=" />

votre avatar





  • Le mdp n’a pas été transmis.

  • Les commentaires sont publics.

  • Les commentaires sont publics.



votre avatar

Pareil <img data-src=" />



Quoiqu’il est si souvent en carafe que ça limite le risque de piratage <img data-src=" />

votre avatar

La preuve que Linux c’est plein de failles :/

Personne n’a encore réussi à pirater Technet de MS&nbsp;



<img data-src=" />

votre avatar

Ou qu’il n’y a aucun challenge à le faire <img data-src=" />





<img data-src=" />

votre avatar

ou les pirates ont honte de dire qu’ils l’ont fait <img data-src=" />

votre avatar







typhoon006 a écrit :



La preuve que Linux c’est plein de failles :/

Personne n’a encore réussi à pirater Technet de MS&nbsp;



<img data-src=" />









athlon64 a écrit :



Ou qu’il n’y a aucun challenge à le faire <img data-src=" />





<img data-src=" />









jaffalibre a écrit :



ou les pirates ont honte de dire qu’ils l’ont fait <img data-src=" />





Mais non, c’est juste qu’il y a trop peu de données à récupérer pour que ce soit rentable



<img data-src=" /><img data-src=" />


votre avatar

Ouf, j’ai cru que c’était le forum francophone <img data-src=" />

votre avatar

C’est difficile de chiffrer les données personnelles sur le serveur ?

votre avatar

Ca devient une maladie ces boites qui ne sont pas capables de garantir la sécurité des données de leurs clients/utilisateurs :(.

&nbsp;

votre avatar







renaud07 a écrit :



Ouf, j’ai cru que c’était le forum francophone <img data-src=" />





la même <img data-src=" />


votre avatar

Ils n’ont pas fait apt-get update && apt-get upgrade sur leur serveur ?

Ils n’ont pas cloisonné leurs services dans des containers lxd ?



Ok, j’arrête de troller <img data-src=" />

votre avatar

sans la moyenne de 2 news du genre par mois y a comme un manque <img data-src=" />

votre avatar

Question sûrement bête: y’a quoi comme données vraiment personnelles sur un forum Ubuntu? <img data-src=" />

Y’a besoin de donner son nom/prénom lors de l’inscription? Ou alors il s ‘agit “seulement” des adresses mail.

votre avatar



On retrouve également des mots de passe, mais il ne s’agit que d’une chaine aléatoire (qui est en plus hachée et salée)



Manque plus que poivre, œuf, oignons et câpres pour avoir des mots de passe tartare. (Désolé…)

votre avatar







Zergy a écrit :



Manque plus que poivre, œuf, oignons et câpres pour avoir des mots de passe tartare. (Désolé…)







<img data-src=" />







CUlater a écrit :



Question sûrement bête: y’a quoi comme données vraiment personnelles sur un forum Ubuntu? <img data-src=" />

Y’a besoin de donner son nom/prénom lors de l’inscription? Ou alors il s ‘agit “seulement” des adresses mail.





D’ailleurs, un pseudo est-il une données personnelle ? (CNIL pour les forum)


votre avatar

<img data-src=" />

votre avatar







stratic a écrit :





Comme quoi, même pour troller, il faut connaître un minimum son sujet <img data-src=" />





Bah non, justement, le principe du troll c’est de lâcher un truc qui n’a rien à voir avec le sujet <img data-src=" />

(Tout le monde a bien compris que la faille est dans le code de vBulletin)


votre avatar

Okcéb1

Forum d’Ubuntu piraté : 2 millions d’utilisateurs concernés, les mots de passe épargnés

  • Une brèche par injection SQL, identifiants, emails et adresses IP dans la nature

  • Des mesures pour éviter que cela ne se reproduise

Fermer