YouPorn aurait été piraté, des e-mails et mots de passe diffusés

"le très célèbre site de pornographie, qui mélange contenus amateurs et professionnels"

Et ben dit donc tu me parait bien au courant Guillaume!!!
Voyou va!!!

Et c'est comme qui dirait la débandade chez Youporn!!!

Et une série de plus...

"Selon nos constatations, 420 adresses e-mail en .fr figurent dans le listing (ce qui ne représente qu'une partie des adresses d'origine française), dont 263 sur hotmail.fr, 96 sur live.fr, 66 sur Yahoo.fr, et seulement 6 sur free.fr, 3 sur Orange.fr et 3 sur SFR.fr."

263+96+66+6+3+3=437

Sacefe, le 22/02/2012 - 14:21

Et ben dit donc tu me parait bien au courant Guillaume!!!
Voyou va!!!

C'est un garçon sérieux : il a fait des recherches avant d'écrire son article.

Quoi ! On a commencé des révolutions pour moins que ça !

... euh ... pardon .. hmmmff ... c'est pas bien .. vilains garnements ! hmmff ... non mimine, je ne connais pas ce site ... broummf.

Sacefe, le 22/02/2012 - 14:21

"le très célèbre site de pornographie, qui mélange contenus amateurs et professionnels"

Et ben dit donc tu me parait bien au courant Guillaume!!!
Voyou va!!!

J'enquête, je fais mon boulot )

En même temps faut pas être une lumière pour s'inscrire sur ce genre de site avec une adresse mail utilisée pour autre chose...

@guillaume du journalisme qui va au fond des choses ? ...

Pourquoi flouter des adresses e-mail dans la capture alors qu'elle vient de Pastebin, que l'article le rappelle et qu'il suffit donc d'aller sur le site pour les avoir en clair ?

Si c'était un listing qui n'était pas public, ce serait compréhensible ; mais là, je ne vois pas la logique derrière ce flou. C'est par obligation légale ou c'est juste du zèle ?

je sens que les commentaires sur ce sujet vont être très profonds

Guillaume, le 22/02/2012 - 14:26

Sacefe, le 22/02/2012 - 14:21

"le très célèbre site de pornographie, qui mélange contenus amateurs et professionnels"

Et ben dit donc tu me parait bien au courant Guillaume!!!
Voyou va!!!

J'enquête, je fais mon boulot )

Il s'est porté volontaire, il fallait bien se sacrifier pour fournir une information complète (en faite, tout le monde à la rédaction voulait faire cette enquête).

abelthorne, le 22/02/2012 - 14:37

Pourquoi flouter des adresses e-mail dans la capture alors qu'elle vient de Pastebin, que l'article le rappelle et qu'il suffit donc d'aller sur le site pour les avoir en clair ?

C'est un problème qui revient souvent. Nous, on masque les adresses, c'est éthique. Par contre, il faut aussi qu'on cite nos sources, c'est éthique aussi. Du coup, on a cet arbitrage un peu bâtard et assez faux cul, mais qui nous semble le moins pire.

"Mais selon nos tests, aucun des login/mot de passe diffusés ne permet de s'identifier sur le site."

Mener ce genre de test ne serait-il pas illégal, par hasard ?

"Selon nos constatations, 420 adresses e-mail en .fr figurent dans le listing (ce qui ne représente qu'une partie des adresses d'origine française), dont 263 sur hotmail.fr, 96 sur live.fr, 66 sur Yahoo.fr, et seulement 6 sur free.fr, 3 sur Orange.fr et 3 sur SFR.fr."

263+96+66+6+3+3=437

Je pense que ça vient des occurrences trouvées par le Ctrl+f de @gchampeau... En réalité Il n'y a, je crois, que 2 adresses free, 1 adresse orange....

Mais le fichier trouvé sur pastebin ne comporte que 6433 lignes... Peut-être pas le même.

Encore une fois la preuve que ce système qui consiste à donner un mot de passe à un serveur en espérant qu'il le stocke de manière cryptée est stupide.
Parce que même s'il le stocke de manière cryptée, il le reçoit en clair et il peut en faire ce qu'il en veut.

Cette gestion des autorisations d'accès, elle tenait à peu près la route aux débuts d'Internet. Mais plus maintenant que c'est un outil essentiel de la vie économique (et je ne parle pas des sites pornos, mais de manière plus générale).

Un mot de passe qui transite sur les réseaux, un mot de passe qui est connu du site Internet, c'est une hérésie. Le mot de passe doit rester en local et il ne doit y avoir qu'un échange d'informations entre le browser de l'internaute et le site Web.

zig, le 22/02/2012 - 15:06

Un mot de passe qui transite sur les réseaux, un mot de passe qui est connu du site Internet, c'est une hérésie. Le mot de passe doit rester en local et il ne doit y avoir qu'un échange d'informations entre le browser de l'internaute et le site Web.

Les méthodes de type challenge/response n'empêchent pas les vols de mot de passe, lorsque ces derniers sont stockés côté serveur dans des bases de données type SQL qui restent trop fragiles face aux attaques. Les bases de données à la LDAP sont bien plus adaptées.

LDAP n'est pas une base de données, mais un annuaire, à ne pas confondre !

Ner'zhul, le 22/02/2012 - 15:48

LDAP n'est pas une base de données, mais un annuaire, à ne pas confondre !

Non, rigoureusement LDAP est un protocole d'interrogation... Maintenant un annuaire est aussi une base de données, arborescente et plus ou moins orientée objet, parfaitement adaptée au stockage des mots de passe puisque grace aux contrôles d'accès (ACL) on peut en empêcher leur lecture tout en autorisant leur vérification et leur modification.

Le comique et le plus incroyable c'est que c'est un dump de donnée a l'origine EN CLAIR donc sauf erreur c'est un comble de NEGLIGENCE CARACTERISEE FAUT COUPER et vite.

Non de non si cela se confirme des données en clairs login/pass c'est a en perdre sa souris.

La faudrait VRAIMENT une HODPI/CPD pour taper sur les doigts des responsables on ne stock pas de données sensible en clair.

zig, le 22/02/2012 - 15:06

Encore une fois la preuve que ce système qui consiste à donner un mot de passe à un serveur en espérant qu'il le stocke de manière cryptée est stupide.
Parce que même s'il le stocke de manière cryptée, il le reçoit en clair et il peut en faire ce qu'il en veut.

Cette gestion des autorisations d'accès, elle tenait à peu près la route aux débuts d'Internet. Mais plus maintenant que c'est un outil essentiel de la vie économique (et je ne parle pas des sites pornos, mais de manière plus générale).

Un mot de passe qui transite sur les réseaux, un mot de passe qui est connu du site Internet, c'est une hérésie. Le mot de passe doit rester en local et il ne doit y avoir qu'un échange d'informations entre le browser de l'internaute et le site Web.

est-ce que tu veux dire que tes mots de passe qui transitent clair et que ton fai doit gentiment garder au chaud dans ses logs (c'est la loi) pour le cas où une requête judiciaire l'obligerait à les communiquer risquent la même chose ?
Qu'un petit malin (un peu plus malin que le fai) pourrait alors s'en emparer ?

Mon dieu mais que fait la police, la hadopi, la société durex ?

enzopitek, le 22/02/2012 - 14:34

@guillaume du journalisme qui va au fond des choses ? ...

MDR

ambiance bonne enfant !

(bon, soyez sympas avec mon adresse mail : pas trop de spam, hein ?)

Ils ont changé tout récemment d'infrastructure web avec un passage à Symfony2 et Redis entre autre. Ils ont peut-être perdu quelques jeux de données servant de test... https://news.ycombin...item?id=3597891

Jumbo, le 22/02/2012 - 18:11

est-ce que tu veux dire que tes mots de passe qui transitent clair et que ton fai doit gentiment garder au chaud dans ses logs (c'est la loi)

Non, c'est pas la loi. Le FAI ne connaît que les mots de passe de ses *propres* services (par la force des choses). Les autres, de toutes façons il ne les voit pas puisque ça passe en https.

/dev/tty, le 22/02/2012 - 21:20

Le FAI ne connaît que les mots de passe de ses *propres* services (par la force des choses). Les autres, de toutes façons il ne les voit pas puisque ça passe en https.

Tous ne passent pas en https, il suffit d'observer l'authentification mise en oeuvre par Numerama pour constater que le mot de passe est transmis en clair en http.

En même temps, c'est issu de pastbin...

Presque sur qu'il s'agit d'un phishing : des emails en double et des emails farfelus (des gens qui ne se sont pas fait avoir et qui ont mis n'importe quoi)

C'est pas plus compliqué que ça:

https://www.flashback.org/t1802006

Vu que c'est du Suedois et du https:

Nous venons de sortir d'un contact pour YouPorn a un dossier public complet de billes à pâte sur l'utilisateur.
Mots de passe non cryptés journaux contiennent avec identifiant et e-mail.

Selon le mec aurait trouver quelqu'un avec le coup de main pour comprendre les divers dossiers sur YouPorn. Dans l'un d'eux est l'ensemble des journaux de personnes qui se sont inscrits.

Tout est dans "http://chat.youporn.com/tmp/"

Vous prendre racine parmi les journaux de leur propre chef. Je ne prends aucune responsabilité quant à ce que vous faites.


J'ai évité d'aller au fond des choses malgré tout ...

Faite l'amour pas la guerre ;-)

Merde va falloir que je change mes mots de passe

Encore une fois la preuve que ce système qui consiste à donner un mot de passe à un serveur en espérant qu'il le stocke de manière cryptée est stupide.
Parce que même s'il le stocke de manière cryptée, il le reçoit en clair et il peut en faire ce qu'il en veut.

Cette gestion des autorisations d'accès, elle tenait à peu près la route aux débuts d'Internet. Mais plus maintenant que c'est un outil essentiel de la vie économique (et je ne parle pas des sites pornos, mais de manière plus générale).

Un mot de passe qui transite sur les réseaux, un mot de passe qui est connu du site Internet, c'est une hérésie. Le mot de passe doit rester en local et il ne doit y avoir qu'un échange d'informations entre le browser de l'internaute et le site Web.

@zigetpuce
bouhh mais que tu nous saoule encore une fois à répéter des lieux communs connus de tous. Va sur un forum d adolescent , peut-être te prendront-ils pour ce que tu espère être. Ici, tu ne leurres personne !
a bon entendeur...