Connexion
Abonnez-vous

Fuite de données chez Aptoide, au moins 20 millions de comptes exposés

Fuite de données chez Aptoide, au moins 20 millions de comptes exposés

Le 22 avril 2020 à 09h27

Aptoide est, selon Android Police, la plus large boutique d’applications indépendante pour Android, avec 150 millions d’utilisateurs actuellement.

Malheureusement pour ces derniers, le service a été victime d’une large fuite de données, initialement rapportée par Under the Breach sur Twitter le 17 avril.

Le pirate indique avoir récupérer les informations de 39 millions de comptes, avec les détails de 20 millions publiés pour prouver ses dires. Il en garderait donc la moitié en réserve, mais on ne connait pas le degré de véracité de son annonce.

Les informations fournies sont en tout cas réelles et contiennent les adresses email, mots de passe hachés en SHA-1, noms, dates d’anniversaire, statuts de comptes, les adresses IP et l’user agent des victimes. Mais pas pour tous, car sur les 49 millions de comptes touchés, 32 millions ont été créés via Facebook et Google. Auxquels cas le mot de passe n’est pas présent dans la base.

Aptoide cherche actuellement à connaitre le point d’entrée du ou des pirates. Toutes les activités liées aux comptes sont suspendues : création, connexion, critique et commentaire. Quand les fonctions seront réactivées, il sera demandé aux utilisateurs de changer de mot de passe, une procédure classique dans ce genre de cas.

On espère en outre qu'Aptoide reverra à la hausse ses fonctions de hachage, car le SHA-1 n'est plus considéré comme sûr depuis longtemps.

Le 22 avril 2020 à 09h27

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

SHA-1 ?!&nbsp;<img data-src=" />

votre avatar

dont le miens …



et me suis fait du coup péter plein de compte direct après (j’ai été prévenue par firefox)



obliger de modifier plein de comptes :/



oui bon on va me dire de pas mettre le même mdp partout…



mais je cherche une solution de gestion de mdp dispo sur mobile et pc firefox/chrome … (j’ai pas encore chercher mais je demande suis certain qu’il y a des gens qui connaissent le bon outil

votre avatar

keepass :o

votre avatar

heu ouai alors non ^^



voudrais un truc qui rempli le mot de passe tout seul ^^



au taff mon secret-server fait ça bien mais c’est un peu lourd (et pas donner) pour la maison xD

votre avatar







al_bebert a écrit :



mais je cherche une solution de gestion de mdp dispo sur mobile et pc firefox/chrome … (j’ai pas encore chercher mais je demande suis certain qu’il y a des gens qui connaissent le bon outil



Lastpass ou Dashlane


votre avatar

oui un keepass-xc par exemple

avec clé privée stockée sur un cloud (pour une dispo pour tout tes appareils) et une clé publique sur chacun de tes appareils

votre avatar

@al_bebert



Bitwarden.

C’est Open Source, et il y a des versions Chrome / Firefox / Android / iOS et tout ce que tu veux.



Pour éviter ce genre de soucis :




  • Ne pas utiliser le même mot de passe à 2 endroits différents

  • Autant que possible, faire générer les mots de passe par le gestionnaire de mot de passe

votre avatar

@al_bebert&nbspnextinpact.com Next INpact&nbsp;<img data-src=" />



&nbsp;Et on peut rajouter Bitwarden

votre avatar

Je valide Bitwarden comme évoqué précédemment.

J’y suis passé à partir de LastPass. L’importation a été très simple et j’ai pu avoir des fonctionnalités supplémentaire comme la gestion des numéros de CB.



Sur smartphone (android) le remplissage “automatique” peut aussi se faire sur dans le navigateur ou même dans les applis.



Et pour conclure sur ce qu’indique dolphin42 sur le fait d’avoir mdp différent sur chaque site, un très bon moyen pour commencer étant de se trouver des règles mnémotechniques pour créer simplement un mdp pour chaque site (même si le gestionnaire les retiendra au final au cas où).



Un bon site pour trouver des bonnes pratiques :)

votre avatar

je connais les bonnes pratiques :)



juste la flemme à titre perso.



le but justement c’est un outil pour générer un mdp aléatoire je vais regarder bitwarden du coup :)



merci à toute cette inpactitude :)

votre avatar

Bizarre, mon Keepass rempli les mots de passe comme un grand…

votre avatar

Combien de fois il faudra répéter que le SHA, qu’il soit 1 ou 512, n’est PAS fait pour le hashage de mots de passe et ne doit pas être utilisé pour ça ?

votre avatar

Le gestionnaire intégré à Firefox fait parfaitement le job…sur Firefox (desktop ou mobile). Il a en plus le bon goût de générer un mdp en 1 clic droit quand nécessaire.

Après si t’as des usages nécessitant 2 navigateurs différents, tu devrais trouver ton bonheur dans les autres outils proposés.

votre avatar

ouaip firefox fait bien le taff (je savais qu’il pouvais générer par contre !)



mais sur mobile je sais pas pourquoi firefox j’accroche pas :/



j’ai mis en place Bitwarden on va test.



je viens de voir qu’on pouvais l’auto héberger… mais via docker :‘( me gonfle ça les nouveaux trucs ils sont pas foutus de te donner autre chose à manger qu’un docker … du coup obliger de conteneursiser un conteneur … pénible

votre avatar







al_bebert a écrit :



heu ouai alors non ^^



voudrais un truc qui rempli le mot de passe tout seul ^^







aucun souci avec keepass pour le remplissage auto, que ce soit sur le web ou sur des applis bureau, desktop ou mobile …


votre avatar

C’est quoi l’intérêt de donner sa date de naissance à une boutique d’applications ?

votre avatar

Le prétexte : Bloquer l’accès aux applications concernées pour les mineurs.

La réalité : Savoir si l’on doit t’afficher des pubs pour Fortnite, pour “des vielles chaudes dans ta région” ou bien pour des culottes pour fuites urinaires …

votre avatar







bad10 a écrit :



aucun souci avec keepass pour le remplissage auto, que ce soit sur le web ou sur des applis bureau, desktop ou mobile …





J’utilise keepass pour ça au bureau… ça nécessite quand même d’avoir le nom de la fenêtre qui correspond tout le temps si tu veux vraiment un truc 100% automatique.



Bitwarden m’intéresse, mais il n’est disponible à l’auto-hébergement que dans un conteneur Docker. Je suis un peu allergique à Docker perso, donc à moins qu’une implémentation sans Docker existe, c’est pas pour moi pour l’instant <img data-src=" />


votre avatar

il existe :)



github.com GitHubbon j’ai une erreur quand j’essaye de le démarrer à cause du web_vault j’ai ouvert une issue sur le github

votre avatar

Utiliser un magasin d’applications indépendant des GAFAM, mais utiliser Google ou Facebook pour la gestion du compte ?

Faut qu’on m’explique…

votre avatar

je te confirme que tout fonctionne (cf l’issue sur le github pour corriger l’erreur de web-vault)



mon instance est fonctionnelle :)

Fuite de données chez Aptoide, au moins 20 millions de comptes exposés

Fermer