Nous ne savons pas exactement de quand date la brèche, a priori d'il y a un ou deux ans.
En terme de données divulguées il s'agit du couple email / mot de passe d'une large partie des utilisateurs du site (environ 50%).
Afin de prévenir d'éventuels actes de malveillance nous avons changé tous les mots de passe du site. Pour récupérer votre nouveau mot de passe il suffira de cliquer sur le lien "Arff, j'ai encore paumé ce truc..." disponible dans le formulaire de connexion. Si vous avez utilisé votre mot de passe SMF sur d'autres sites, pensez à la modifier partout où il a été utilisé.
D'autres mesures complémentaires vont venir dans les jours qui viennent comme le chiffrement des données utilisateurs sensibles de la base.
En attendant nous rappelons les bonnes pratiques concernant la gestion des mots de passe :
- N'utilisez jamais le même mot de passe sur plusieurs sites ;
- Utilisez des mots de passe compliqués ;
- Changez-les régulièrement.
Plus d'explications et de mauvais exemples ici.
Le site vous propose désormais un mot de passe avec un niveau de sécurité élevé. Utilisez-le plutôt que de mettre 1234567.
Nous sommes sincèrement désolés pour cet évènement mais cela montre une fois de plus qu'il faut être extrêmement vigilant sur la sécurité informatique quelle que soit la finalité de l'outil, car des entités malveillantes sont prêts à utiliser tous les moyens à leur disposition pour nuire.
Je ressors le sujet aujourd'hui car j'ai reçu ce mail il y a quelques jours... le mots de passe indiqué correspond en effet a mon ancien mots de passe SMF, je suis donc venue chercher des infos par ici et j'ai bien fait.
Heureusement que je n'ai pas de webcam et que je ne vais pas sur des sites pornos
Je partage histoire que personne ne se fasse duper
"Vous vous demandez probablement pourquoi vous recevez un mail depuis VOTRE propre adresse, n'est-ce pas ? Je vais tout vous expliquer.
Je suis un hackeur et j'ai piraté vos appareils il y a quelques mois, j'ai mis en place un virus sur un site pour adulte que VOUS avez visité et j'ai réussi à avoir la main sur votre appareil.
Seulement, j'ai remarqué que vous aviez des goûts très... particuliers en matière de "pornographie".
J'ai donc abusé de votre appareil pour le transformer en serveur RDP (contrôle à distance) et devinez ce que j'ai bien pu faire ?
J'ai tout simplement enregistré une vidéo en écran scindé avec d'un côté votre navigateur sur le "site" et de l'autre votre webcam vous enregistrant en train de vous... amuser. C'est comme cela que j'ai pu vous envoyer cet email depuis VOTRE adresse compromise.
Suite à cela, j'ai fait une copie de vos contacts, photos, mots de passes, données bancaires et bien d'autre.
Je vous promets que je ne vous dérangerai plus après votre paiement, car vous n'êtes pas ma seule victime. C'est le code d'honneur des hackeurs. Ne m'en voulez pas, chacun son travail après tout...
Vous voulez savoir ce que vous pouvez faire ?
Et bien, je pense que 750 euros est un juste prix pour notre petit secret. Vous effectuerez le paiement par Bitcoin (Si vous n'en avez pas entendu parler, recherchez "comment acheter des bitcoins" sur Google).
L'adresse de mon portefeuille Bitcoin :
1CrxZoo7ETM8EPahUuto4jgPL3cgvdx7jb
(Respectez les majuscules et les minuscules, copier/coller est préférable)
Important Vous avez 48 heures pour effectuer le paiement. (J'ai un traqueur dans ce mail et je sait que vous l'avez ouvert.)
La vidéo ainsi que la copie de toutes ces données sont déjà de mon côté et si vous ne coopérez pas, je serai dans l'obligation d'envoyer la vidéo à vos contacts les plus importants, à votre famille, à vos collègues, sur facebook, twitter et bien d'autres...
Pour vous prouver ma bonne foi, voici l'un de vos nombreux mot de passe compromis :
9xa6Q
Changer vos mots de passe, détruire le virus, envoyer en réparation ou désinfecter votre ordinateur ne sont d'aucune utilité puisque vos données sont déjà sur un serveur distant. Ne me prenez pas pour un con.
Si vous voulez des preuves, répondez par "Oui!" et je commencerai à envoyer l'enregistrement à 6 de vos contacts les plus importants. C'est une offre non négociable, cela dit, ne me faites pas perdre mon temps et le vôtre, pensez aux conséquences de vos actes."
Edité 1 fois, dernière édition par Rebecca Tastrof le 23/04/2019
ha bin je n'ai rien reçu (encore)
jva changer mon mot de passe de suite
merci pour l'info
keep calm and play magic
j'ai changé mon mot de passe le vendredi 29 novembre le matin dans mon profil sur votre site.
j'y ai ajouté 2 chiffres et 1 symbole.
je vais moi aussi rechanger mon mot de passe en ajoutant de la complexité.
merci ylloh
Edité 1 fois, dernière édition par arlocken le 03/12/2018
Explication rapide de « l'intérêt » de hacker un site comme la smf.
La smf on s'en contrefiche l'intérêt viens d'une erreur de beaucoup de gens sur internet : l'unité des mots de passe. Si on récupère le couple MDP / e-mail de la smf il y a de grande chance qu'on puisse avoir accès avec ce même couple à des comptes plus intéressant (comme steam ou ta banque par exemple).
à noter aussi qu'on peut faire une arnaque plus simple aussi : « j'ai hacker ton compte de la smf qui est pas important et si tu veux pas que je pourrisse ton compte de (Nom_de_site_utile) paye de l'argent sur ce compte. »
Si une personne sur cent se fait avoir, ça peut être rentable.
Et comme xkcd c'est la vie :
Réutilisation de Mot de Passe
Password Strength (en anglais)
Fougère se rendort jusqu'au prochain funcard contest intéressant.
donc la fuite vient d'ici
j'me barre pendant quelques mois, et c'est déjà le boxon ><
Ok, je comprends mieux ce mail moisi que j'ai reçu :
Hello!
I have very bad news for you.
09/08/2018 - on this day I hacked your OS and got full access to your account h*****@****.com On this day your account h*****@****.com has password: *************smfcorp.net........
Merci pour la réaction.
merci de l'info ! personnellement j'ai eu un souci ce matin pour me connecter : mes codes habituels ne fonctionnaient plus. j'ai donc fait un "mot de passe oublié " pour avoir un nouveau mot de passe automatique.
après avoir réussi a me connecter avec un nouveau mot de passe compliqué (comme tu le décris dans ton article) j'ai changé ce mot de passe pour un à moi avec lettre chiffre et symbole.
dois je encore changer ce nouveau mot de passe qui date de ce matin ?
6 réponse(s)
Mais tu as changé où le mot de passe ? J'ai bloqué la fonctionnalité normalement pour que vous n'ayez que des mots de passe attribués automatiquement.
Je pense qu'il y a eu un délai entre la publication de cet article et le blocage de la fonctionnalité, car j'ai moi aussi pu changer mon mdp
Oui j'ai bloqué ça hier soir. Donc maintenant plus de changement de mot de passe, prenez celui qu'on vous donne. Merci !
Vous êtes sérieux ?! On fait comment pour retenir ce truc ?! =o
Je vais pas me le retaper à chaque fois que je fais un cleaner d'ordi ! =o
On a finalement rétabli la possibilité de modifier les mots de passe mais on exige quelque chose de sérieux (au moins une minuscule, une majuscule, un chiffre et un caractère spécial et faire au moins 12 caractères).
Bon, ben je vais changer mon mot de passe pour correspondre à ces spécifications
Et y a-t-il possibilité de changer le mot de passe reçu par mail pour un autre que l'on aurait choisi ? Merci d'avance pour votre réponse.
1 réponse(s)
Pour l'instant non, pour deux raisons :
1/ on est sûr que c'est un mot de passe fort (et pas 1234567 ou votre pseudo) donc ça vous protège et ça protège la SMF ;
2/ on est sûr que vous ne l'utiliserez pas ailleurs et cas de problème de notre côté (ce qui ne se reproduira plus bien entendu) les dégâts pour vous se limitent à la SMF et pas votre compte facebook, gmail ou autre.
Maintenant si vous nous dites que c'est l'enfer on pourra revenir dessus.
Tain sur un site de paiement j'aurai compris mais ici ça me dépasse enfin merci pour les contremesures !