Ha, ha, hack - Magic the Gathering

Ha, ha, hack

Ha, ha, hack

On pensait que ça n'arrivait qu'aux plus grands qui ont des choses obscènes à cacher mais non même les plus petits qui traitent de sujets légers avec légèreté peuvent aussi se faire hacker. Indépendamment de notre volonté, notre base de données des utilisateurs avec les mots de passe s'est retrouvée sur le web.

On pensait que ça n'arrivait qu'aux plus grands qui ont des choses obscènes à cacher mais non même les plus petits qui traitent de sujets légers avec légèreté peuvent aussi se faire hacker. Indépendamment de notre volonté, notre base de données des utilisateurs avec les mots de passe s'est retrouvée sur le web.



News

le , par ylloh
2990 | Louanges 16

Nous ne savons pas exactement de quand date la brèche, a priori d'il y a un ou deux ans.

En terme de données divulguées il s'agit du couple email / mot de passe d'une large partie des utilisateurs du site (environ 50%).

Afin de prévenir d'éventuels actes de malveillance nous avons changé tous les mots de passe du site. Pour récupérer votre nouveau mot de passe il suffira de cliquer sur le lien "Arff, j'ai encore paumé ce truc..." disponible dans le formulaire de connexion. Si vous avez utilisé votre mot de passe SMF sur d'autres sites, pensez à la modifier partout où il a été utilisé.

D'autres mesures complémentaires vont venir dans les jours qui viennent comme le chiffrement des données utilisateurs sensibles de la base.

En attendant nous rappelons les bonnes pratiques concernant la gestion des mots de passe :

  • N'utilisez jamais le même mot de passe sur plusieurs sites ;

  • Utilisez des mots de passe compliqués ;

  • Changez-les régulièrement.


Plus d'explications et de mauvais exemples ici.

Le site vous propose désormais un mot de passe avec un niveau de sécurité élevé. Utilisez-le plutôt que de mettre 1234567.

Nous sommes sincèrement désolés pour cet évènement mais cela montre une fois de plus qu'il faut être extrêmement vigilant sur la sécurité informatique quelle que soit la finalité de l'outil, car des entités malveillantes sont prêts à utiliser tous les moyens à leur disposition pour nuire.

Alors c'était comment ?

16 Louange(s) chantée(s) en coeur


user#11061 Le 23/04/2019

Je ressors le sujet aujourd'hui car j'ai reçu ce mail il y a quelques jours... le mots de passe indiqué correspond en effet a mon ancien mots de passe SMF, je suis donc venue chercher des infos par ici et j'ai bien fait.
Heureusement que je n'ai pas de webcam et que je ne vais pas sur des sites pornos

Je partage histoire que personne ne se fasse duper

"Vous vous demandez probablement pourquoi vous recevez un mail depuis VOTRE propre adresse, n'est-ce pas ? Je vais tout vous expliquer.

Je suis un hackeur et j'ai piraté vos appareils il y a quelques mois, j'ai mis en place un virus sur un site pour adulte que VOUS avez visité et j'ai réussi à avoir la main sur votre appareil.
Seulement, j'ai remarqué que vous aviez des goûts très... particuliers en matière de "pornographie".

J'ai donc abusé de votre appareil pour le transformer en serveur RDP (contrôle à distance) et devinez ce que j'ai bien pu faire ?

J'ai tout simplement enregistré une vidéo en écran scindé avec d'un côté votre navigateur sur le "site" et de l'autre votre webcam vous enregistrant en train de vous... amuser. C'est comme cela que j'ai pu vous envoyer cet email depuis VOTRE adresse compromise.
Suite à cela, j'ai fait une copie de vos contacts, photos, mots de passes, données bancaires et bien d'autre.

Je vous promets que je ne vous dérangerai plus après votre paiement, car vous n'êtes pas ma seule victime. C'est le code d'honneur des hackeurs. Ne m'en voulez pas, chacun son travail après tout...
Vous voulez savoir ce que vous pouvez faire ?

Et bien, je pense que 750 euros est un juste prix pour notre petit secret. Vous effectuerez le paiement par Bitcoin (Si vous n'en avez pas entendu parler, recherchez "comment acheter des bitcoins" sur Google).
L'adresse de mon portefeuille Bitcoin :

1CrxZoo7ETM8EPahUuto4jgPL3cgvdx7jb

(Respectez les majuscules et les minuscules, copier/coller est préférable)
Important Vous avez 48 heures pour effectuer le paiement. (J'ai un traqueur dans ce mail et je sait que vous l'avez ouvert.)
La vidéo ainsi que la copie de toutes ces données sont déjà de mon côté et si vous ne coopérez pas, je serai dans l'obligation d'envoyer la vidéo à vos contacts les plus importants, à votre famille, à vos collègues, sur facebook, twitter et bien d'autres...

Pour vous prouver ma bonne foi, voici l'un de vos nombreux mot de passe compromis :

9xa6Q

Changer vos mots de passe, détruire le virus, envoyer en réparation ou désinfecter votre ordinateur ne sont d'aucune utilité puisque vos données sont déjà sur un serveur distant. Ne me prenez pas pour un con.
Si vous voulez des preuves, répondez par "Oui!" et je commencerai à envoyer l'enregistrement à 6 de vos contacts les plus importants. C'est une offre non négociable, cela dit, ne me faites pas perdre mon temps et le vôtre, pensez aux conséquences de vos actes."

Edité 1 fois, dernière édition par Rebecca Tastrof le 23/04/2019

usul Le 05/12/2018

ha bin je n'ai rien reçu (encore)
jva changer mon mot de passe de suite
merci pour l'info

keep calm and play magic

arlocken Le 03/12/2018

ylloh a dit :
Mais tu as changé où le mot de passe ? J'ai bloqué la fonctionnalité normalement pour que vous n'ayez que des mots de passe attribués automatiquement.


j'ai changé mon mot de passe le vendredi 29 novembre le matin dans mon profil sur votre site.
j'y ai ajouté 2 chiffres et 1 symbole.

je vais moi aussi rechanger mon mot de passe en ajoutant de la complexité.

merci ylloh

Edité 1 fois, dernière édition par arlocken le 03/12/2018

Kentigerm Le 30/11/2018

Vinhan32 a dit :
Tain sur un site de paiement j'aurai compris mais ici ça me dépasse enfin merci pour les contremesures !


Explication rapide de « l'intérêt » de hacker un site comme la smf.

La smf on s'en contrefiche l'intérêt viens d'une erreur de beaucoup de gens sur internet : l'unité des mots de passe. Si on récupère le couple MDP / e-mail de la smf il y a de grande chance qu'on puisse avoir accès avec ce même couple à des comptes plus intéressant (comme steam ou ta banque par exemple).

à noter aussi qu'on peut faire une arnaque plus simple aussi : « j'ai hacker ton compte de la smf qui est pas important et si tu veux pas que je pourrisse ton compte de (Nom_de_site_utile) paye de l'argent sur ce compte. »
Si une personne sur cent se fait avoir, ça peut être rentable.

Et comme xkcd c'est la vie :

Réutilisation de Mot de Passe

Password Strength (en anglais)



Fougère se rendort jusqu'au prochain funcard contest intéressant.

salocin1692 Le 30/11/2018

donc la fuite vient d'ici
j'me barre pendant quelques mois, et c'est déjà le boxon ><

Sh_K Le 29/11/2018

Ok, je comprends mieux ce mail moisi que j'ai reçu :

Hello!

I have very bad news for you.
09/08/2018 - on this day I hacked your OS and got full access to your account h*****@****.com On this day your account h*****@****.com has password: *************smfcorp.net........


Merci pour la réaction.

arlocken Le 29/11/2018

merci de l'info ! personnellement j'ai eu un souci ce matin pour me connecter : mes codes habituels ne fonctionnaient plus. j'ai donc fait un "mot de passe oublié " pour avoir un nouveau mot de passe automatique.
après avoir réussi a me connecter avec un nouveau mot de passe compliqué (comme tu le décris dans ton article) j'ai changé ce mot de passe pour un à moi avec lettre chiffre et symbole.
dois je encore changer ce nouveau mot de passe qui date de ce matin ?

6 réponse(s)
ylloh Le 30/11/2018

Mais tu as changé où le mot de passe ? J'ai bloqué la fonctionnalité normalement pour que vous n'ayez que des mots de passe attribués automatiquement.

Shagore Le 30/11/2018

Je pense qu'il y a eu un délai entre la publication de cet article et le blocage de la fonctionnalité, car j'ai moi aussi pu changer mon mdp

ylloh Le 30/11/2018

Oui j'ai bloqué ça hier soir. Donc maintenant plus de changement de mot de passe, prenez celui qu'on vous donne. Merci !

Vinhan32 Le 30/11/2018

Vous êtes sérieux ?! On fait comment pour retenir ce truc ?! =o
Je vais pas me le retaper à chaque fois que je fais un cleaner d'ordi ! =o

ylloh Le 02/12/2018

On a finalement rétabli la possibilité de modifier les mots de passe mais on exige quelque chose de sérieux (au moins une minuscule, une majuscule, un chiffre et un caractère spécial et faire au moins 12 caractères).

Shagore Le 02/12/2018

Bon, ben je vais changer mon mot de passe pour correspondre à ces spécifications

Othraan Le 29/11/2018

Et y a-t-il possibilité de changer le mot de passe reçu par mail pour un autre que l'on aurait choisi ? Merci d'avance pour votre réponse.

1 réponse(s)
ylloh Le 29/11/2018

Pour l'instant non, pour deux raisons :
1/ on est sûr que c'est un mot de passe fort (et pas 1234567 ou votre pseudo) donc ça vous protège et ça protège la SMF ;
2/ on est sûr que vous ne l'utiliserez pas ailleurs et cas de problème de notre côté (ce qui ne se reproduira plus bien entendu) les dégâts pour vous se limitent à la SMF et pas votre compte facebook, gmail ou autre.

Maintenant si vous nous dites que c'est l'enfer on pourra revenir dessus.

Vinhan32 Le 28/11/2018

Tain sur un site de paiement j'aurai compris mais ici ça me dépasse enfin merci pour les contremesures !

Toi aussi, loue son œuvre !


Si vous êtes l'une ou l'un de celles et ceux qui ont choisi la rébellion contre le brouillard de la toile qui étouffe les esprits, identifiez-vous pour participer. Sinon vous avez encore une chance d'éveiller vos sens, en rejoignant notre communauté de Magiciens Fous.

L'auteur

ylloh
mdo
Modérateur

Gourou | Yvelines
Un gourou n'exige rien de ses disciples mais au contraire les aide à élargir leur vision.

Voir le profil complet

Partage l'ami !

     


Le Dark Mogwaï

Retrouvez le Dark Mogwaï et la communauté des Magiciens Fous sur :

Balthor le robuste : Le tout venant a été piraté par le cadet impatient... qu'est-ce qu'on fait, on se risque sur la bizarrerie voilée ? ça va rajeunir personne...
Konda, seigneur d'Eiganjo : Tiens, vous nous refaites l'empoisonnement du puits ?
Frères Yamazaki : Pourquoi vous dites ça ? il a pourtant l'air honnête...
Bosh, golem de fer : C'est pas de la maladie exotique, mais il faut dire que comme parcours de découverte, c'est pas exactement le terrain familier non plus...
Balthor le robuste : Il date de Tempête, du vignoble d'Eladämri m'sieurs-dames, le temps des grandes heures... seulement on a dû arrêter la fabrication, y a des clients qui attrapaient la Distorsion, on a eu des plaintes.
Frères Yamazaki : Faut admettre que c'est plutôt une boisson d'homme d'airain.
Bosh, golem de fer : Moi je déteste pas.
Frères Yamazaki : Tu sais pas ce qu'il me rappelle, cette espèce d'arrache-mort qu'on buvait dans un petit troquet de Puelasoif, pas loin de Tourtecouine... la mare putride, les crapauds... et la taulière, une rousse comaque... comment qu'elle s'appelait déjà nom de dieu ?
Urza : Moût, tantine boggarte.
Frères Yamazaki : T'as connu ?!
Baron Sengir : J'y trouve une senteur de sang.
Balthor le robuste : Y en a.
Frères Yamazaki : Et c'est devant chez elle qu' Angus Mackenzie s'est fait dessouder.
Konda, seigneur d'eiganjo : Et par qui, alors ?
Urza : Ben vl'à que j'ai plus ma tête...
Baron Sengir : Torsten von Ursus, un subtil qui travaillait qu'au pourfendeur de monde.
Frères Yamazaki : Toute une époque...

—Les Tontons Chainflinger

Proposé par Dark Mogwaï le 19/06/2012

Le sondage du bas d'en bas de la page
Votre véritable moment de post-apocalypse :

Résultats (déjà 76 votes)