Patreon piraté : 15 Go de données personnelles utilisateurs se retrouvent sur internet
2,3 millions d'adresses courriel unique ont été dénombrées

Le , par Victor Vincent, Chroniqueur Actualités
,
2,3 millions d’adresses courriel unique ont déjà pu être dénombrées

La plateforme de financement participatif Patreon a été victime d’un vol massif de données utilisateurs en ligne. Dans un billet de blog, Jack Conte, co-fondateur et PDG de Patreon, a déclaré qu’une base de données Patreon contenant des informations utilisateurs a été compromise, conduisant à un accès non autorisé aux données de la plateforme, à savoir des noms enregistrés, des adresses électroniques, des messages, et quelques adresses de livraison en plus d'un certain nombre d’adresses de facturation stockées avant 2014.

Aucun numéro de carte de crédit n’a été stocké en entier sur les serveurs de l'entreprise et d'ailleurs aucun numéro de carte de crédit n'a été compromis, comme l'a souligné Conte. Aussi, les pirates n’ont pas eu accès aux numéros de cartes de crédit des clients. Tous les mots de passe, numéros de sécurité sociale et les informations d’imposition des utilisateurs qui ont pu être récupérés par les pirates sont chiffré avec une clé RSA 2048 bits a rappelé le PDG de Patreon. L'entreprise s'est tout de même excusée pour le préjudice occasionné dans un courriel adressé aux clients.

Patreon a été attaqué le 28 septembre grâce à une version déboguée du site qui était accessible au grand public. Une fois que le problème a été identifié, l'équipe d'ingénieurs a fermé la brèche en arrêtant le serveur et en déplaçant tous les serveurs qui n'étaient pas dédiés à la production derrière un pare-feu. Ils ont également pris des mesures pour aider à prévenir de futurs vols de données et se sont lancés dans un examen rigoureux des systèmes de sécurité.

Patreon a engagé une équipe de sécurité externe pour enquêter sur l’incident et procéder à un audit de la sécurité en interne. A ce propos, Conte a expliqué qu'il prend la vie privée des créateurs au sérieux ; « c’est la mission de notre équipe que d’aider les créateurs à être payés pour la valeur incommensurable qu’ils apportent à chacun de nous, et gagner votre confiance quant à notre capacité à fournir un service sûre et sécurisé est l’une des priorités de Patreon ». Troy Hunt, un professionnel de sécurité Microsoft a commencé une fouille des données qui ont été compromises mais une analyse complète prendra un certain temps du fait de la taille énorme des données. Une fois le tri terminé, Hunt prévoit d'inclure ces données dans le service HaveIBeenPwned, qui permettra aux utilisateurs de vérifier si leurs données ont été divulguées en ligne ou pas.

Un total de 2,3 millions d'adresses e-mail uniques a été découvert jusqu'à ce jour dans le processus de fouille de données engagé. Le risque majeur pour les utilisateurs de la plateforme est que ces données soient utilisées pour des usurpations d’identités. En outre, souligne Hunt, il peut y avoir des raisons politiques ou personnelles derrière. Des individus voulant contribuer anonymement à un projet, peuvent vouloir utiliser des données pour ne pas à avoir à s’exposer sur la scène publique.

Patreon utilise la fonction de hachage bcrypt pour protéger les mots de passe des utilisateurs ce qui rend très difficile de cracker ces mots de passe. Cependant, puisque le code sources du site serait parmi les données volées, il y a une chance que les mots de pas hachés puissent être récupérés par les pirates. Patreon exhorte par conséquent ces utilisateurs à changer leurs mots de passe le plus rapidement possible.

Source : Patreon

Et vous?

Que pensez vous de ce drame de Patreon?

A voir aussi

le forum Sécurité Web

la rubrique Développement Web (Cours, Tutoriels, FAQ, etc.)


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de - https://www.developpez.com
le 04/10/2015 à 8:34
C'est comme le numéro de R.I.B. qui sert a débiter par abonnement et aussi créditer. Les numéros inscrits sur les cartes bancaire ayant un longue durée de validité donc pour les abonnements et de se fait ne figure plus sur les cartes bancaire.

Je crois que certaines personnes se sont procurés un truc mais ne savent pas encore s'en servir.

Ou encore préfère que se soit simple. Comme le prélèvement différé pour lequel personne ne fait le "commit" à la fin du mois.
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 04/10/2015 à 17:22
je connaissais pas ce site. comme quoi cette news à au moins l'interet de faire de la pub
Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 04/10/2015 à 20:32
Code source ou pas, retrouver les mots de passe est difficile car c'est le principe du haching. Cependant si l'on a la fonction d'encryption (ce qu'ils ont probablement), on peux par force brut, retrouver les mots de passe simple (Simple ne veux pas dire très simple...). Il y a cependant un inconvénient, on ne peux jamais être sur d'avoir le mot de passe. Je m'explique avec le hachage, un mot de passe "toto" devient par exemple "xyz". Mais "tirelir?latire" peux très bien donné comme hach "xyz". Conclusion, il y a 90% de chance que ce soit "toto" mais pas de certitude et inversement avec "xyz" on ne peux pas retrouver informatiquement le mot de passe. Autre conséquence, si votre mot de passe était "tirelir?latire" et que comme probablement beaucoup vous utilisé le même pour vos mail / facebook... Les hackeur ne pourront pas accéder a votre compte mail avec "toto".
Avatar de nirgal76 nirgal76 - Membre chevronné https://www.developpez.com
le 05/10/2015 à 8:02
en déplaçant tous les serveurs qui n'étaient pas dédiés à la production derrière un pare-feu. Ils ont également pris des mesures pour aider à prévenir de futurs vols de données et se sont lancés dans un examen rigoureux des systèmes de sécurité
Tout cela aurait du être fait avant. Comme beaucoup, ils ne se préoccupent de la sécurité qu'après une catastrophe. Pas sérieux comme site. Amateurs à éviter.
Avatar de shkyo shkyo - Membre expérimenté https://www.developpez.com
le 05/10/2015 à 8:32
Il faut dire que dans encore beaucoup de boites, malheureusement, on ne te donne des budgets pour le faire qu'après un gros problème... Anticiper les soucis, surtout en sécurité, demande plus de moyens que de faire à minima!

Je me souviens avoir bossé dans une boite où ils ont commencé à s'inquiéter des sauvegardes seulement après l'incendie de l'entreprise voisine...
Avatar de ram-0000 ram-0000 - Rédacteur https://www.developpez.com
le 05/10/2015 à 11:56
Citation Envoyé par abriotde Voir le message
Code source ou pas, retrouver les mots de passe est difficile car c'est le principe du haching. Cependant si l'on a la fonction d'encryption (ce qu'ils ont probablement), on peux par force brut, retrouver les mots de passe simple (Simple ne veux pas dire très simple...).
D'accord, avoir l'algorithme simplifie la tâche du brute force

Citation Envoyé par abriotde Voir le message
Il y a cependant un inconvénient, on ne peux jamais être sur d'avoir le mot de passe. Je m'explique avec le hachage, un mot de passe "toto" devient par exemple "xyz". Mais "tirelir?latire" peux très bien donné comme hach "xyz".
Cela s'appelle de la collision de hash, c'est moins trivial que cela mais c'est l'idée. 2 mots de passe différents pourraient avoir le même hash (la probabilité est tout de même très très faible, mais pas nulle)

Citation Envoyé par abriotde Voir le message
Conclusion, il y a 90% de chance que ce soit "toto" mais pas de certitude et inversement avec "xyz" on ne peux pas retrouver informatiquement le mot de passe. Autre conséquence, si votre mot de passe était "tirelir?latire" et que comme probablement beaucoup vous utilisé le même pour vos mail / facebook... Les hackeur ne pourront pas accéder a votre compte mail avec "toto".
Je ne suis pas d'accord avec ta conclusion.
Si ton mot de passe est "toto", que son hash est "xyz" et que le mot de passe "tirelir?latire" donne le même hash "xyz" alors ti pourras utiliser indifférement le mot de passe "toto" ou "tirelir?latire".

Le contrôle du mot de passe se fait uniquement en vérifiant l'égalité du hash de ce que tu as saisi avec le hash qui est dans la base de données, donc les 2 mots de passe seront acceptés
Avatar de SurferIX SurferIX - Membre chevronné https://www.developpez.com
le 10/10/2015 à 19:17
Citation Envoyé par Victor Vincent Voir le message
...A ce propos, Conte a expliqué qu'il prend la vie privée des créateurs au sérieux...
Si c'était vraiment le cas, il n'y aurait jamais eu de vol. Surtout aujourd'hui. Il est tout simplement inexcusable, et encore moins avec les mensonges qu'il émet, tout cet amalgame fatras de blabla inutile qui m'écoeure.
Avatar de Ekleog Ekleog - Membre éclairé https://www.developpez.com
le 10/10/2015 à 21:32
Je vois des gens qui réagissent, et je me dis "ah, c'est bien, il y a de la réaction". Et puis là, je lis l'article et découvre les réactions…

Cela fait quelques années que je n'ai plus participé activement sur developpez.net ; principalement par manque de temps. Mais voir des réactions aussi incompréhensible me pousse à envoyer au moins ce message ; en espérant que developpez.net n'est pas devenu un nid à haine pendant mon absence.

La sécurité informatique est un domain très difficile à mettre en place. Ici, ils se sont rendus compte qu'un serveur de développement était du mauvais côté du pare-feu. Je ne vous en veux pas de croire que c'est une erreur de débutant, mais depuis que j'ai arrêté de poster sur ce site j'ai aussi commencé à administrer quelques serveurs. Eh bien c'est simple : les serveurs ne sont pas disposés au sol avec un grand cercle rouge autour de la DMZ, non. Les sysadmins croyaient sans aucun doute que le serveur était à l'abri derrière le pare-feu ; et ont découvert que ce n'était pas le cas. Exemple tout bête : avec l'arrivée d'IPv6, beaucoup de pare-feux disparaissent simplement complètement : vu qu'il faut dupliquer les règles de pare-feu pour IPv6 et pour IPv4, un certain nombre de serveurs peuvent donner l'impression d'être bien configurés alors qu'en fait ce n'est pas le cas.

Alors ils ont fait une erreur, oui ; une erreur bête, oui ; mais il y a beaucoup de points d'échec en sécurité informatique.

Maintenant, passons aux données perdues, et observons pourquoi les réactions du genre "ils ne font pas attention à la sécurité" sont simplement ridicules. Les données récupérées sont chiffrées en RSA2048. Ce qui signifie qu'elles sont en sécurité pour au moins une dizaine d'années, en considérant que la personne qui les a récupérées a plus ou moins la capacité de calcul d'une agence gouvernementale. Et pour la partie sur les mots de passe, bcrypt est un algorithme de hashing très efficace également ; alors à moins d'avoir un mot de passe trivial (ce que malheureusement la plupart des mots de passe sont ; mais ce n'est pas de la faute de cette entreprise), il ne sera jamais repéré.

Voilà, j'espère qu'on va arrêter de cracher du venin sur tout le monde : en raison du paragraphe précédent de ma réponse, j'estime que cette entreprise mériterait plutôt d'être citée en exemple pour avoir bien mis en place la défense en profondeur (ici chiffrer la base de données et hasher les mots de passe), plutôt que d'être pointée du doigt pour une faille de sécurité. Parce que tout le monde a, un jour ou l'autre, une faille de sécurité, et que c'est à ce moment qu'il faut s'assurer qu'on ne puisse rien en tirer, ce qui me semble être le cas ici.

Bref, j'arrête mon pavé ici.

Bonne journée à tous,

Léo Gaspard
Ekleog
Avatar de linfo78 linfo78 - Nouveau membre du Club https://www.developpez.com
le 13/10/2015 à 3:29
Il y a prescription, puisque 20 ans ont passé :
Dans une entité travaillant pour la Défense, on m'a demandé, entre autres, de vérifier la sécurité de serveurs de données dans une division.

Quand le directeur informatique a eu en main les preuves des problèmes rencontrés sur certains serveurs, il est devenu tout vert !
Notamment un serveur ultra confidentiel ... vous rappelez-vous des fameuses vedettes de guerre que la France n'avait, soit-disant, jamais vendu à Taïwan ? Ben, les ingénieurs français s'occupaient déjà de la 3eme mise à jour des logiciels embarqués, pffff ! et le serveur était "open" !

En fait les ingénieurs en avaient tellement marre de se connecter et de se déconnecter de nombreux serveurs, car les informations étaient réparties sans vraiment tenir compte des projets, qu'ils enlevaient les mots de passe, ou les écrivaient sur des postits etc ...

Le temps de remettre de l'ordre, de moderniser le matériel ... je suis resté un an au lieu des 3 mois prévus !
Et je suis parti avec une prime exceptionnelle, remise par le DG, de 12500 euros (en 1995 !)

Pour en revenir à plus de généralité, je suis très inquiet sur la sécurité actuelle des réseaux, surtout Internet.
Moi qui ait vécu (subi) le virus Melissa dans une grande entreprise en 1999, je suis affolé car les pirates ont des moyens 100.000 fois plus perfectionnés qu'à l'époque !
Si le réseau Internet n'est pas revu de fond en comble, il v y avoir des cataclysmes ...
A+
Avatar de SurferIX SurferIX - Membre chevronné https://www.developpez.com
le 13/10/2015 à 8:54
Citation Envoyé par Ekleog Voir le message
... Je ne vous en veux pas de croire que c'est une erreur de débutant
Donc pour toi un patron qui paie des employés au lance pierre et qui embauche des débutants, qui font par conséquent du travail de débutant, pour augmenter ses propres marges, c'est donc parfaitement excusable ?

Citation Envoyé par Ekleog Voir le message
...IPv6 et pour IPv4, un certain nombre de serveurs peuvent donner l'impression d'être bien configurés alors qu'en fait ce n'est pas le cas.
Je te fais une image : "J'ai construit votre maison, elle me donne l'impression d'être bien construite, mais ça n'est pas le cas." Et là aussi c'est pas de la faute de l'admin système ? Il y a vraiment des dizaines et des dizaines et des dizaines de serveurs ? Arrêtons la blague. 3 ou 4 serveurs au mieux, s'ils sont répliqués, une dizaine. Un bon admin système qui bosse à temps plein ne peut pas passer à côté d'une faute aussi grossière. Encore une fois, je ne blâme pas l'admin système mais le patron. Et au travers de son discours, j'en ai tellement entendus dans le genre que c'est presque sûr qu'il se confond en excuse, mais voici son message décrypté en clair : "j'ai voulu me faire un max de thunes sur votre bon dos de moutons, j'y suis parvenu, mais ça a demandé de faire travailler plein de personne incompétentes pour sortir les salaires les plus bas et donc là je m'excuse".

Citation Envoyé par Ekleog Voir le message
...cette entreprise mériterait plutôt d'être citée en exemple pour avoir bien mis en place la défense en profondeur
Ah. Elle a crée un coffre fort gigantesque, absolument indestructible, et a laissée la porte du coffre fort grand ouvert. Tu as raison, je pourrai la citer en exemple, mais pas pour les mêmes raisons.
Ton discours comporte une erreur de taille : tu mélange chiffrement, sécurité logicielle = ce qui a été mis en place par les développeurs, avec l'administration système, qui n'a pas été à la hauteur. Il ne faut pas mélanger admin. système et développement (même si pour des très petits sites des gens doivent faire les deux, on les appelle "webmasters".
Contacter le responsable de la rubrique Accueil