Journal [Wine] La base de données du site WineHQ a eu un visiteur indésirable

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
13
11
oct.
2011

Chère moule inscrite sur WineHQ,

We are sorry to report that recently our login database for the
WineHQ Application Database was compromised. We know that the entire
contents of the login database was stolen by hackers. The password
was encrypted, but with enough effort and depending on the quality
of your old password, it could be cracked.

We have closed the hole in our system that allowed read access to
our database tables.

To prevent further damage we have reset your password to what is shown
below. We strongly suggest that if you shared your AppDB password on
any other sites that you change that password as soon as possible.

Login Email: moule_anonyme@linuxfr.org
New Password: (omis pour des raisons de sécurité)

For more detailed information about this hacking, please read about
it at this link:
http://www.winehq.org/pipermail/wine-users/2011-October/097753.html

Again, we apologize for any inconvenience this has caused.

-WineHQ Staff
http://appdb.winehq.org/

Les développeurs de l'appdb, la partie de WineHQ recensant la compatibilité Wine avec des applications Windows données, avaient un accès à l'interface phpmyadmin du site. Et c'est par là que tout a commencé :

What we know at this point that someone was able to obtain unauthorized
access to the phpmyadmin utility. We do not exactly how they obtained
access; it was either by compromising an admins credentials, or by
exploiting an unpatched vulnerability in phpmyadmin.

We had reluctantly provided access to phpmyadmin to the appdb developers
(it is a very handy tool, and something they very much wanted). But it
is a prime target for hackers, and apparently our best efforts at
obscuring it and patching it were not sufficient.

Heureusement, le(s) bonhomme(s) qui a (ont) fait ça n'ont pas touché à la base de données. Chouette, toutes les informations sur comment faire marcher tel jeu sont toujours là. Rien de grave, "on" s'est juste contenté de télécharger les derniers couples email de login - mot de passe pour l'appdb et pour le bugtracker… Ah ben mince, c'est grave ça.

This is again another reminder to never use a common username / password
pair. This web site provides further advice as well:
http://asiknews.wordpress.com/2011/03/02/best-practice-password-management-for-internet-web-sites/

Vous m'excusez, j'ai des mots de passe à changer.

  • # Compromettant, très compromettant ...

    Posté par  . Évalué à 3.

    Vous m'excusez, j'ai des mots de passe à changer.

    Tu as surtout le mdp pour le compte moule_anonyme@linuxfr.org a changer en priorité, puis en fonction de la popularité de ton adresse email/login et de la déductibilité des accès associés (par google) s'occuper du reste.

    Ca peut représenter pas mal de travail

    envoyé depuis mon clavier bépo

    • [^] # Re: Compromettant, très compromettant ...

      Posté par  . Évalué à 3.

      C'est toujours une bonne idée d'avoir un gestionnaire de mots de passe : un mot de passe différent par site, même faible !

      • [^] # Re: Compromettant, très compromettant ...

        Posté par  . Évalué à 2.

        L'ennui avec certain site c'est le niveau minimal de complexité qu'il est quelquefois requis, m'obligeant à piocher dans certain de mes mdp à bonne complexité (et dont je me rappelle sans avoir à me les tatouer à la memento)

        envoyé depuis mon clavier bépo

        • [^] # Re: Compromettant, très compromettant ...

          Posté par  (site web personnel) . Évalué à 4.

          Il y a aussi le niveau maximal de complexité. Certains sites comme Hotmail limitent à quelque chose comme 14 caractères max, j'ai déjà vu 16 ailleurs, et SFR tronque les majuscules en minuscule dans ses mots de passe.

          Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

        • [^] # Re: Compromettant, très compromettant ...

          Posté par  . Évalué à 0.

          +1

          C'est un point assez judicieux et un problème assez frustrant que tu soulèves.

          On encense l'usage de l'OpenID mais personne ne prône une "standardisation" de politique de "mot de passe" et même de politique de nom d'utilisateur.

          Il m'est arrivé de perdre l'accès à certains compte que j'avais créés car les sites aux-quelles ils étaient liés avaient des contraintes de "mot de passe" stupides et ce n'est pas souvent la "PME" des sites web (max 2000 utilisateurs etc, ...) mais assez souvent des sites à grande "enseigne.

    • [^] # Re: Compromettant, très compromettant ...

      Posté par  . Évalué à -2.

      Moi sa m’embête un max tout s, je me rappelle plus su j'avais laissez le mots de passe que Wine m'avait donner, si j'avait utiliser un mots de passe commun avec d'autre truc, si j'avais utiliser une variante du mdp sus-cité, ou si j'avais utiliser un tout autre truc. Vue que je suis inscrit sur un troufillion de site j'ai pas envie de tout changé si je suis toujours "protégé"

    • [^] # Re: Compromettant, très compromettant ...

      Posté par  (site web personnel) . Évalué à 3.

      Heureusement non. Je ne pratique pas le mot de passe unique, ce qui réduit les dégâts, et puis certains de mes anciens mots de passe n'étaient pas assez sécurisés. J'en ai donc profité pour passer en revue les mots de passe des comptes les plus risqués en cas d'obtention du mot de passe.

      Plus de bien que de peur que de mal pour moi, en somme. :)

      Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.