En novembre dernier, un piratage massif a été découvert avec « la fuite de plus de 23 000 bases de données et 226 millions d’adresses mails et mots de passe à travers le monde ».
Kubii reconnaît que, « comme de nombreux autres sites français » il est concerné : « Les adresses mails et mots de passe contenus dans nos bases de données nous ont été dérobés et se sont retrouvés disponibles illégalement sur le dark web ».
Le revendeur a lancé une enquête dont il dévoile les grandes lignes. Tout d’abord, « il est difficile de savoir d'où peut venir la fuite. De la même manière, les clients et adresses mails concernés, sont visés et impactés aléatoirement et principalement via du spam/phishing, sans corrélation particulière ».
La société affirme que les « coordonnées bancaires ne sont pas concernées par ce piratage, et elles ne sont, de toute manière, pas stockées sur les bases de données de Kubii ». « Les mots de passe contenus dans la base de données et disponibles via la fuite, sont restés chiffrés et ne sont donc pas lisibles en clair depuis le fichier pirate. Aussi, plus votre mot de passe est complexe, plus il est sécurisé ».
La CNIL avait évidemment été informée de cet incident, mais « nous n’avons pas eu de retour ni de nouveau contact avec la CNIL à la suite de notre déclaration par téléphone et par e-mail ».
Enfin, une recommandation basique en pareille situation : « nous vous invitons à modifier le mot de passe associé à votre compte Kubii partout ou vous l’avez utilisé ».
Commentaires (40)
Kubii avait annoncé le vol des données par un simple tweet en Novembre dernier.
Etrangement, après leur avoir rappelé leur devoir d’information auprès de leurs clients mercredi matin … ils ont finalement envoyé un mail hier soir.
Dommage qu’il faille les menacer de contacter la CNIL pour qu’ils communiquent enfin à TOUS leurs clients ! Et pas qu’avec un simple tweet !
Si j’avais pas balancé publiquement l’info sur Twitter, on aurait même pas eu droit au dit tweet …
Et à l’heure actuelle, je n’ai toujours pas vu passer le moindre email pour prévenir les clients “hors Twitter”.
Sinon, merci à Have I Been Pwned pour le coup, sans l’alerte concernant la présence de mon email dans le leak, je serais pas aller fouiller dans l’archive et personne aurait été mis au courant du hack.
bonne réaction! (de toi pas de kubii)
Je viens de vérifier sur haveibeenpwned et mon adresse apparaît bien sur Cit0day, mais comment savoir si c’est le fait de kubii ou non?
Troyhunt fourni le listing complet des sites contenu de l’archive dans son annonce.
Après c’est un travail de déduction. Comme j’utilise un gestionnaire de mdp avec les urls de chaque site pour l’autocomplétion, c’était facile de faire le lien.
Apparemment depuis quelques mois, les dernières versions de Chrome alertent lorsqu’un couple adresse/mot de passe a fuité.
De mon coté c’est mon adresse en +kubii@ qui est la seul pwned, toutes les autres sont clean (même celle sans le +blablabla@), donc ca vient de la.
Mais reçu hier pour ma part. Le contenu est maladroit je trouve qu’ils essayent de minimiser en disant qu’ils ne sont pas les seuls concernés par la fuite..
Ah bin ça dès qu’il s’agit de montrer au monde qu’on a fauté… On parle de SFR qui affiche l’injonction administrative sur son site (comme prévu) mais dans un bandeau caché tout en haut qui n’est visible que si tu scrolles plus haut que le haut ?? (pas comme prévu…)
(rofl je viens d’aller voir du coup, c’est magique ce que fait sfr en effet, niveau fourberie c’est vachement fort)
https://www.nextinpact.com/lebrief/45960/sfr-au-sommet-son-art-en-matiere-publication-legale
Ho bien vu j’étais passé à côté !
Le Kubii qui fuit, c’est un drame pour la fête.
Il y’a deux ans un site s’est fait pirater… depuis mon adresse mail reçoit des spams dit certains ont mon nom et prénom!!
On devrait pouvoir facilement engager la responsabilité de ces sites pour le défaut de sécurisation.. et le préjudice subi
La responsabilité n’est pas toujours si simple à établir. Les failles peuvent être exploitées en 0-day, venant d’une partie de l’infra qui n’a pas encore de correctif disponible, par exemple. Ici, les passwords leakés sont chiffrés, ce n’est pas dit qu’il y ait un défaut de sécurisation flagrant.
On notera que le particulier lui a une obligation de sécurisation de sa connexion… alors que bon ce n’est pas son rôle.
Sécuriser son PC, la connexion, c’est pour le FAI.
On va m’accuser des pires atrocités envers une espèce d’insectes inofensive, tant pis, mais ça serait pas plutôt 23000 enregistrements d’une base de données qui auraient été volés ?
Parce que sinon, ça fait beaucoup de bases de données je trouve
Malheureusement non :/
13 GB de données compressés .
https://www.troyhunt.com/inside-the-cit0day-breach-collection/
D’accord oui j’avais pas pigé. Bêtement en lisant la news j’avais compris que Kubii s’était fait volé 23000 “bases de données”.
En fait ça concerne plein de monde, du coup c’est plus crédible.
Et la fuite des données Darty (avec nom, prénom, adresse…) dont presque personne ne parle?… ils disent que “c’est pas eux”… mais tout prouve le contraire.
Encore ? ZATAZ et l’amende de 100 000 euros ne les a pas fait réfléchir ?
Je pense en fait que c’est toujours la même fuite… mais c’est pénible…
“les données de client(e)s qui pourraient figurer sur ces e-mails frauduleux ne relèvent à aucun moment d’une fuite émanant de Darty”.
Pourtant, le formulaire de demande de service après-vente à l’origine de la faille de sécurité était développé par un sous-traitant de Darty, mais cela ne « décharge » par le groupe français « de son obligation de préserver la sécurité des données traitées pour son compte », rappelle la Cnil.
Pour ma part toujours aucun email pour m’informer dudit piratage. J’ai pourtant commencé à recevoir du SPAM sur l’adresse email dédiée utilisée le 29 août 2020, et zéro nouvelles de kubii depuis fin août à ce sujet (sauf un “c’est bizarre, on regarde”). C’est bien dommage.
Remarquez, mon adresse utilisée sur la boutique de L’ANFR est listée sur haveibeenpwned et jamais rien reçu non plus
Pourtant la brève dit :
“La CNIL avait évidemment été informée de cet incident”
La CNIL oui, mais jusque là, pas les clients !
Sinon la petite phrase “ il est difficile de savoir d’où peut venir la fuite” ça ne dérange personne ?
En gros on s’est fait powned, mais on sait pas comment.
Donc potentiellement la faille est toujours là… Allez, on rajoute ce site d’incapables à ma blacklist
Curieux je pensais qu’ils géraient très mal le +truc@,
J’ai essayé de commander chez au en juillet dernier, avec un compte avec une adresse en +kubii@, et j’ai jamais réussi à valider le paiement (en essayant avec plusieurs navigateurs). J’ai essayé de contacter le support (par formulaire et par mail directement), et je n’ai jamais eu de réponse, me faisant abandonner l’achat (dommage, ils ont des tarifs intéressant).
Je n’ai pas eu de message indiquant la fuite, pourtant, mon adresse est listée dans haveibeenpwned.
T’as pas fait une erreur en rentrant ton adresse mail. Ca ressemble furieusement a un mail d’inscription mal formé (erreur dans le domaine ou la partie avant le +)
J’ai reçu leur communiqué de fuite directement sur mon adresse +kubii
Quand bien même on peut être d’accord avec ce commentaire il me dérange car il amène un phénomène de banalisation de la déresponsabilisation, option excuse facile.
Je pense que la loi devraient imposer des mesures bien plus sérieuses pour la sécurité des systèmes et dispositifs. Et quand je dis cela de rendre responsable quand bien même le 0day est valable.
Ça imposerai d’en minimiser les effets. Comme par exemple d’avoir des ingénieurs de la sécurité qui sont au cul des sondes pour vérifier que les trafics sont OK. Cela veut dire aussi une conception/architecture digne de ce nom des systèmes, et base de données pour cloisonner comme il se doit. Le principe du serveur unique “château fort” est assez ridicule. Surtout pour des boites qui ne sont pas si à plaindre que cela et qui investissent dans la communication de manière conséquente.
Tant qu’il n’y a pas de danger ces boites feront toujours pareil.
Et en plus ça. Merci ilink
ce qui est dommage avec le site haveibeenpwned c’est que ça ne te dit pas sur quel site ton adresse mail a été hackée.
J’utilise principalement 2 adresse mails mais les mots de passe ne sont pas les mêmes suivant les sites où je vais donc j’aurai beau changer de mot de passe sur un site lié à mon adresse mail, rien ne me dit que c’est ce mot de passe qui a été hacké, bref c’est sans fin.
Pour savoir si un mot de passe a fuité :
https://haveibeenpwned.com/Passwords
Oui, et c’est même curieux de procéder ainsi. Et en plus ils font de la pub pour 1password…
T’as un pseudo d’enfer sinon
Une remarque, les mots de passes sont stockés en MD5 je crois : pourquoi pas aussi les adresses mails ? Ou plus costaud que MD5.
Le hash ne garantit pas l’unicité (il la rend juste probable), or contrairement au mot de passe, une adresse mail sert généralement d’identifiant donc doit absolument être unique. Je suppose que c’est la raison.
merci, je n’avais pas vu ce mode, je croyais qu’il n’y avait que par les adresses mails.
Sur le site dehashed, en cherchant ton email, ça te dira de quel site provient la fuite (dans cit0day)
Je veux bien avoir fait une erreur, mais j’ai bien reçu l’email de validation du compte et les devis que j’ai générés (j’ai refait le test en changeant mon mdp suite à cette news)… De plus, comme je l’ai déjà indiqué, mon adresse en +kubii@ est aussi listée dans haveibeenpwned. Ce n’est pas une erreur de recopie; j’utilise un gestionnaire de mdp pour tout ça.