La nuit dernière, 1,2 milliard de mots de passe ont été volés par des hackers russes nommés CyberVor (basés quelque part entre le Kazakhstan et la Mongolie). Les sites de quelque 420 000 sociétés américaines et étrangères ont ainsi été visés. Ce ne sont pas moins de 500 millions d’adresses e-mail qui ont été récupérées, a révélé hier le New York Times ! Cette intrusion pourrait être la plus vaste jamais réalisée.
La société de sécurité, Hold Security, qui a découvert ces documents ne souhaite pas citer les victimes, mais des experts indépendants ont confirmé la véracité de ces informations et des sites web attaqués, la plupart étant jugés toujours vulnérables. Selon le New York Times, peu de données ont été mises sur le marché et le groupe aurait surtout utilisé ces informations pour des campagnes de spam.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Et encore un site qui relait l’information.
Avez-vous vérifier la moindre source ?
Hold Security, nom de de domaine posé il y’a moins de deux ans. Un site plus que douteux. Une page Facebook ouverte il y a un mois … Bref, pour un site petit “cabinet”, ils sont vachement bien informé.
Le New York Time atteste ? Ah bon ? Source ? Le site web ne dis rien la dessus, ni même avec les bons mots clés sur Google.
Le site pour vérifier ? Ah bah oui : donnez votre adresse mail et vos 15 possibles mots de passes, et ils vous diront gentiment si vous vous êtes fait avoir dans le tas.
Des chiffres aussi impressionnants cache forcement une info erronée quelque part. Et quelque chose me dis que c’est l’info en soit.
Par pitié, arrêtez de diffuser sans vraiment regarder ou être sûr que ce que vous partagez est correct ou sécurisé. Je ne dis que ce truc ne l’est pas. Mais avouez au moins que c’est louche …
les pirates n’ont plus qu’un site a pirater… celui de “Hold Security” qui va se charger pour eux de récolter tout les logins et mots de passe. Comment une boite qui se dit de “sécurité” peut demander les adresses et mots de passe des gens ?
le lien est pourtant dans l’article… http://www.nytimes.com/2014/08/06/technology/russian-gang-said-to-amass-more-than-a-billion-stolen-internet-credentials.html?_r=0
Pour appuyer Tsoas : cette info date au moins du début de la journée, l’ayant entendu à la radio. Tous les sites non spécialisés geekeries en parlent. Et à priori, vous n’avez pas pris la peine de vérifier les sources en relayant l’info au moins 7 heures après son annonce en France. Bientôt vous nous ferez connaître que les imprimantes 3D sont accessibles au grand public ?
@greg ca n’empêche pas que le lien (qui a disparu) vers la page de test est louche et n’est pas dans la page du NYT
un petit tour sur google news également pour les plus réticents, ce n’est pas compliqué !
https://www.google.fr/search?q=Hold+Security&rlz=1C1CHFX_frFR519FR519&oq=Hold+Security&aqs=chrome..69i57j0l5.354j0j7&sourceid=chrome&es_sm=0&ie=UTF-8#q=Hold+Security&safe=off&tbm=nws
Quelque soit l’avis, l’info est vrai et relayée. Concernant le site de test Hold Security j’émet par contre une énorme (comme ma bit…) réserve : ça sent l’arnaque c’machin, j’vous l’dis.
Chaque site assez malin utilise un hash avec un grain de sel. N’allez pas me dire que Hold security connait le grain de sel de toutes ces victimes et l’encodage du mot de passe. Encore que, je connais des gros sites qui stockent les mots de passe en clair en BDD…
Au mieux, changer son mot de passe sur chaque site incriminé, et si on utilise le même partout, ben ça s’complique.
http://www.theverge.com/2014/8/6/5973729/the-problem-with-the-new-york-times-biggest-hack-ever
Merci The Verge qui démontent le truc intelligemment
@jec
” Encore que, je connais des gros sites qui stockent les mots de passe en clair en BDD”
Orange par exemple, faut pas chercher très loin hélas :/
@Seb on veut un screen de la bdd ! ^^
Bonjour,
La seule et unique “source de cette affaire reste Hold Security, qui demande 120 $ / mois pour vous protéger. D’ailleurs, il est bizarre d’avoir à donner ses mots de passe au site pour qu’il vérifie si on a été “hacké”.
Comment sait-il quels sont les algorithmes de chiffrement utilisé par les 420 000 sites hackés ? Pourquoi le fait de donner simplement notre @mail ne suffirait pas ?
Si je crie dans la rue que je connais le numéro de CB de tout le monde, puis que je leur dit “donnez moi votre nom et votre numéro de CB etc., et je vous dirai si je le connaissais déjà”, que me répondront les gens sensés ?
C’est très louche, et pourtant tous les sites d’information tombent dans le panneau, vous y compris. La plupart des commentaires s’indignent de ce procédé “scammeux” sur divers sites d’information. Avez-vous vérifié quoi que ce soit (ie. avez-vous fait du journalisme) ?
A bon entendeur.
Bof si je reçois des offres pour des pilules de viagra je saurai qu’ils ont mon email.
Ben moi depuis quelques j’en reçois des offres pour du Viagra ou pour élargir mon membre.
Ils ont du récupéré mon adresse mail.
@djyo : Bien qu’ayant déjà travaillé sur des projets oranges, je n’ai pas eu accès à ce genre de données (fort heureusement).
Mais quand on a oublié le mot de passe, Orange nous propose de nous l’envoyer par SMS, et pas un nouveau généré comme ils devraient faire, mais bien le mot de passe en clair.
Donc soit c’est en clair en base de donnée, soit c’est crypté (et non hashé) et donc décryptable.
Dans tout les cas, à partir du moment ou il est décryptable c’est un problème de sécurité.
Je ne comprends pas quel sont leurs besoins de stocker nos mots de passes de la sorte … Ils n’ont pas à savoir les mots de passes je comprends pas ça
Pour moi, c’est juste une fake en faveur de hold security, ils ont juste à dire après qu’ils ont été piratés et que les mdp et logins collectés sont compromis, et ils sont couverts. Soyez vigilant, changez vos mots de passe et installez des plugins anti-phishing du genre Lastpass .