|
|
YouPorn aurait été piraté, des e-mails et mots de passe diffusés
Guillaume Champeau -
publié le Mercredi 22 Février 2012 à 14h17 -
posté dans Société 2.0
 YouPorn a-t-il été piraté ? C'est ce que laisse croire un document présentant plus de 7000 adresses e-mails d'abonnés inscrits, dont une quantité importante d'adresses françaises, avec leurs mots de passe en clair.
C'est un document bien embarrassant, qui promet quelques franches moqueries (entre autres désagréments potentiellement plus graves) contre ceux qui en sont victimes, et une contre-publicité très désagréable pour YouPorn. Oz Data Centa a publié le dump d'une base de données prétendument issue du site YouPorn.com, sur laquelle apparaît au moins partiellement une liste d'abonnés du site pornographique. Pour le moment, l'origine du hack est inconnue. Daté du 20 février, le document publié sur PasteBin présenterait une liste de membres inscrits sur le très célèbre site de pornographie, qui mélange contenus amateurs et professionnels. La liste se compose tout simplement d'une longue série de 7725 adresses e-mail, avec les mots de passe en clair. Selon nos constatations, 420 adresses e-mail en .fr figurent dans le listing (ce qui ne représente qu'une partie des adresses d'origine française), dont 263 sur hotmail.fr, 96 sur live.fr, 66 sur Yahoo.fr, et seulement 6 sur free.fr, 3 sur Orange.fr et 3 sur SFR.fr. Le mot "sex" apparaît 269 fois dans les logins et mots de passe, "xxx" 141 fois, et "porn" 146 fois, ce qui pourrait acréditer l'origine de la base de données. Mais selon nos tests, aucun des login/mot de passe diffusés ne permet de s'identifier sur le site. Sur son site, YouPorn n'affiche pour le moment aucun message concernant cet éventuel piratage des données personnelles de ses abonnés. Son blog est également silencieux, tout comme son compte Twitter. à lire aussi
  Prix indiqués avec livraison
31
Commentaires à propos de «YouPorn aurait été piraté, des e-mails et mots de passe diffusés»
 "Selon nos constatations, 420 adresses e-mail en .fr figurent dans le listing (ce qui ne représente qu'une partie des adresses d'origine française), dont 263 sur hotmail.fr, 96 sur live.fr, 66 sur Yahoo.fr, et seulement 6 sur free.fr, 3 sur Orange.fr et 3 sur SFR.fr."
263+96+66+6+3+3=437 Sacefe, le 22/02/2012 - 14:21 Et ben dit donc tu me parait bien au courant Guillaume!!!  Voyou va!!!  Quoi ! On a commencé des révolutions pour moins que ça !
... euh ... pardon .. hmmmff ... c'est pas bien .. vilains garnements ! hmmff ... non mimine, je ne connais pas ce site ... broummf.  Sacefe, le 22/02/2012 - 14:21 "le très célèbre site de pornographie, qui mélange contenus amateurs et professionnels" Et ben dit donc tu me parait bien au courant Guillaume!!! Voyou va!!! J'enquête, je fais mon boulot  ) En même temps faut pas être une lumière pour s'inscrire sur ce genre de site avec une adresse mail utilisée pour autre chose...
 Pourquoi flouter des adresses e-mail dans la capture alors qu'elle vient de Pastebin, que l'article le rappelle et qu'il suffit donc d'aller sur le site pour les avoir en clair ?
Si c'était un listing qui n'était pas public, ce serait compréhensible ; mais là, je ne vois pas la logique derrière ce flou. C'est par obligation légale ou c'est juste du zèle ?  Guillaume, le 22/02/2012 - 14:26
Sacefe, le 22/02/2012 - 14:21 "le très célèbre site de pornographie, qui mélange contenus amateurs et professionnels" Et ben dit donc tu me parait bien au courant Guillaume!!! /forum/public/style_emoticons/default/alaugh.gif Voyou va!!! /forum/public/style_emoticons/default/alaugh.gif /forum/public/style_emoticons/default/alaugh.gif J'enquête, je fais mon boulot /forum/public/style_emoticons/default/ohmy.gif) abelthorne, le 22/02/2012 - 14:37 Pourquoi flouter des adresses e-mail dans la capture alors qu'elle vient de Pastebin, que l'article le rappelle et qu'il suffit donc d'aller sur le site pour les avoir en clair ?C'est un problème qui revient souvent. Nous, on masque les adresses, c'est éthique. Par contre, il faut aussi qu'on cite nos sources, c'est éthique aussi. Du coup, on a cet arbitrage un peu bâtard et assez faux cul, mais qui nous semble le moins pire.  "Mais selon nos tests, aucun des login/mot de passe diffusés ne permet de s'identifier sur le site."
Mener ce genre de test ne serait-il pas illégal, par hasard ? "Selon nos constatations, 420 adresses e-mail en .fr figurent dans le listing (ce qui ne représente qu'une partie des adresses d'origine française), dont 263 sur hotmail.fr, 96 sur live.fr, 66 sur Yahoo.fr, et seulement 6 sur free.fr, 3 sur Orange.fr et 3 sur SFR.fr."
263+96+66+6+3+3=437 Je pense que ça vient des occurrences trouvées par le Ctrl+f de @gchampeau...  En réalité Il n'y a, je crois, que 2 adresses free, 1 adresse orange.... Mais le fichier trouvé sur pastebin ne comporte que 6433 lignes... Peut-être pas le même.  Encore une fois la preuve que ce système qui consiste à donner un mot de passe à un serveur en espérant qu'il le stocke de manière cryptée est stupide.
Parce que même s'il le stocke de manière cryptée, il le reçoit en clair et il peut en faire ce qu'il en veut. Cette gestion des autorisations d'accès, elle tenait à peu près la route aux débuts d'Internet. Mais plus maintenant que c'est un outil essentiel de la vie économique (et je ne parle pas des sites pornos, mais de manière plus générale). Un mot de passe qui transite sur les réseaux, un mot de passe qui est connu du site Internet, c'est une hérésie. Le mot de passe doit rester en local et il ne doit y avoir qu'un échange d'informations entre le browser de l'internaute et le site Web. zig, le 22/02/2012 - 15:06 Un mot de passe qui transite sur les réseaux, un mot de passe qui est connu du site Internet, c'est une hérésie. Le mot de passe doit rester en local et il ne doit y avoir qu'un échange d'informations entre le browser de l'internaute et le site Web.Les méthodes de type challenge/response n'empêchent pas les vols de mot de passe, lorsque ces derniers sont stockés côté serveur dans des bases de données type SQL qui restent trop fragiles face aux attaques. Les bases de données à la LDAP sont bien plus adaptées. Nerzhul, le 22/02/2012 - 15:48 LDAP n'est pas une base de données, mais un annuaire, à ne pas confondre !Le comique et le plus incroyable c'est que c'est un dump de donnée a l'origine EN CLAIR donc sauf erreur c'est un comble de NEGLIGENCE CARACTERISEE FAUT COUPER et vite.
Non de non si cela se confirme des données en clairs login/pass c'est a en perdre sa souris. La faudrait VRAIMENT une HODPI/CPD pour taper sur les doigts des responsables on ne stock pas de données sensible en clair.
|
A LA UNE
LES + COMMENTÉS
 10 offres à partir de 469 €
 16 offres à partir de 18 €
 10 offres à partir de 112 €
 3 offres à partir de 63 €
 21 offres à partir de 67 €
Télécharger
torrent,
restauration msn messenger,
montage video,
adobe flash player,
ground control,
bittorrent emule islande,
bittorrent emule island,
cryptage emule islande,
Accès rapide :
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
|
Et ben dit donc tu me parait bien au courant Guillaume!!!
Voyou va!!!