Aptoide est, selon Android Police, la plus large boutique d’applications indépendante pour Android, avec 150 millions d’utilisateurs actuellement.
Malheureusement pour ces derniers, le service a été victime d’une large fuite de données, initialement rapportée par Under the Breach sur Twitter le 17 avril.
Le pirate indique avoir récupérer les informations de 39 millions de comptes, avec les détails de 20 millions publiés pour prouver ses dires. Il en garderait donc la moitié en réserve, mais on ne connait pas le degré de véracité de son annonce.
Les informations fournies sont en tout cas réelles et contiennent les adresses email, mots de passe hachés en SHA-1, noms, dates d’anniversaire, statuts de comptes, les adresses IP et l’user agent des victimes. Mais pas pour tous, car sur les 49 millions de comptes touchés, 32 millions ont été créés via Facebook et Google. Auxquels cas le mot de passe n’est pas présent dans la base.
Aptoide cherche actuellement à connaitre le point d’entrée du ou des pirates. Toutes les activités liées aux comptes sont suspendues : création, connexion, critique et commentaire. Quand les fonctions seront réactivées, il sera demandé aux utilisateurs de changer de mot de passe, une procédure classique dans ce genre de cas.
On espère en outre qu'Aptoide reverra à la hausse ses fonctions de hachage, car le SHA-1 n'est plus considéré comme sûr depuis longtemps.
Commentaires (21)
#1
SHA-1 ?! 
" />
#2
dont le miens …
et me suis fait du coup péter plein de compte direct après (j’ai été prévenue par firefox)
obliger de modifier plein de comptes :/
oui bon on va me dire de pas mettre le même mdp partout…
mais je cherche une solution de gestion de mdp dispo sur mobile et pc firefox/chrome … (j’ai pas encore chercher mais je demande suis certain qu’il y a des gens qui connaissent le bon outil
#3
keepass :o
#4
heu ouai alors non ^^
voudrais un truc qui rempli le mot de passe tout seul ^^
au taff mon secret-server fait ça bien mais c’est un peu lourd (et pas donner) pour la maison xD
#5
#6
oui un keepass-xc par exemple
avec clé privée stockée sur un cloud (pour une dispo pour tout tes appareils) et une clé publique sur chacun de tes appareils
#7
@al_bebert
Bitwarden.
C’est Open Source, et il y a des versions Chrome / Firefox / Android / iOS et tout ce que tu veux.
Pour éviter ce genre de soucis :
#8
@al_bebert https://www.nextinpact.com/news/101627-mots-passe-on-vous-aide-a-choisir-gestion… 
" />
Et on peut rajouter Bitwarden
#9
Je valide Bitwarden comme évoqué précédemment.
J’y suis passé à partir de LastPass. L’importation a été très simple et j’ai pu avoir des fonctionnalités supplémentaire comme la gestion des numéros de CB.
Sur smartphone (android) le remplissage “automatique” peut aussi se faire sur dans le navigateur ou même dans les applis.
Et pour conclure sur ce qu’indique dolphin42 sur le fait d’avoir mdp différent sur chaque site, un très bon moyen pour commencer étant de se trouver des règles mnémotechniques pour créer simplement un mdp pour chaque site (même si le gestionnaire les retiendra au final au cas où).
Un bon site pour trouver des bonnes pratiques :)
#10
je connais les bonnes pratiques :)
juste la flemme à titre perso.
le but justement c’est un outil pour générer un mdp aléatoire je vais regarder bitwarden du coup :)
merci à toute cette inpactitude :)
#11
Bizarre, mon Keepass rempli les mots de passe comme un grand…
#12
Combien de fois il faudra répéter que le SHA, qu’il soit 1 ou 512, n’est PAS fait pour le hashage de mots de passe et ne doit pas être utilisé pour ça ?
#13
Le gestionnaire intégré à Firefox fait parfaitement le job…sur Firefox (desktop ou mobile). Il a en plus le bon goût de générer un mdp en 1 clic droit quand nécessaire.
Après si t’as des usages nécessitant 2 navigateurs différents, tu devrais trouver ton bonheur dans les autres outils proposés.
#14
ouaip firefox fait bien le taff (je savais qu’il pouvais générer par contre !)
mais sur mobile je sais pas pourquoi firefox j’accroche pas :/
j’ai mis en place Bitwarden on va test.
je viens de voir qu’on pouvais l’auto héberger… mais via docker :‘( me gonfle ça les nouveaux trucs ils sont pas foutus de te donner autre chose à manger qu’un docker … du coup obliger de conteneursiser un conteneur … pénible
#15
#16
C’est quoi l’intérêt de donner sa date de naissance à une boutique d’applications ?
#17
Le prétexte : Bloquer l’accès aux applications concernées pour les mineurs.
La réalité : Savoir si l’on doit t’afficher des pubs pour Fortnite, pour “des vielles chaudes dans ta région” ou bien pour des culottes pour fuites urinaires …
#18
#19
il existe :)
https://github.com/MrMEEE/bitwarden_rs_rpm/
bon j’ai une erreur quand j’essaye de le démarrer à cause du web_vault j’ai ouvert une issue sur le github
#20
Utiliser un magasin d’applications indépendant des GAFAM, mais utiliser Google ou Facebook pour la gestion du compte ?
Faut qu’on m’explique…
#21
je te confirme que tout fonctionne (cf l’issue sur le github pour corriger l’erreur de web-vault)
mon instance est fonctionnelle :)