Ghostshell a volé les informations de plus de 39 millions de comptes sur Internet
Les pirates disent protester contre les serveurs « mal configurés »
Le 2016-06-04 10:45:33, par Victor Vincent, Expert éminent sénior
Des pirates ont réussi à s’emparer des données personnelles de plus de 39 millions de comptes sur la toile. Le groupe de hackers qui se fait appeler Ghostshell, déclare que cette action a été menée pour protester contre les serveurs « mal configurés». En effet, le groupe de pirates écrit dans un billet publié sur le site Pastebin, qui est souvent utilisé par les pirates pour publier des données qu’ils ont piratées, que le but est de sensibiliser sur les dangers encourus par un administrateur-système qui « décide de ne même pas créer des noms d’utilisateurs et mots de passe en tant que root, et qui ne vérifie pas les ports ouverts » sur ses serveurs. D’après eux, certains administrateurs-système ne prennent même pas la peine « de vérifier les ports ouverts sur leurs systèmes nouvellement configurés ». C’est pour cette raison que toute personne ayant un minimum de compétence dans le domaine de la sécurité peut facilement s’emparer des données sur de tels serveurs.
Le groupe Ghostshell a utilisé des outils permettant de scanner les ports d’un serveur Web tels que Shodan.io, un moteur de recherche pour des services orientés Internet, afin de localiser des bases de données, tournant sur un serveur ouvert au public hébergeant le système de gestion de bases de données MongoDB. Les pirates ont également pu accéder aux données d’un grand nombre de bases de données sur 110 serveurs Web différents, connectés à Internet, et qui ne nécessitent pas d’identifiants de connexion pour y accéder. Ils ont alors pu télécharger un volume donné des caches des différents serveurs. Au total 6 gigaoctets de fichiers non compressés ont ainsi pu être récupérés par les pirates sur ces serveurs « mal configurés ».
Les pirates tirent la sonnette d’alarme sur le fait que des serveurs mal configurés peuvent « permettre à quiconque d’infiltrer un réseau » et donc d’avoir « accès à la gestion interne des données ». La personne infiltrée pourrait ainsi, sans pour autant avoir des privilèges d’administrateur dans le système, avoir un accès total aux données. Elle pourra alors créer de nouvelles instances de bases de données, supprimer celles qui existaient, modifier les données, entre autres actions, préviennent les pirates.
La plupart des bases données attaquées par Ghostshell sont hébergées par des fournisseurs bien connus tels que Amazon Web Services ou encore Rackspace. Les pirates déclarent que même si les bases de données étaient différentes les unes des autres, ils ont été en mesure de retrouver les noms d’utilisateurs, les dates de naissance, les adresses mail, les numéros de téléphone, le sexe des utilisateurs, les informations concernant les moyens de paiement utilisés, les titres et les descriptions d’emploi et même les dates de mariage des différents utilisateurs. Ils ajoutent aussi avoir eu accès à du contenu provenant des médias sociaux tels que des identifiants de profils Facebook et Twitter, des photos de profils et les jetons utilisés pour identifier un utilisateur avec un service. Le contenu de certains messages envoyés par mail et qui ont été marqués « confidentiel » aurait aussi été découvert dans certains cas.
Au-delà des données des utilisateurs, Ghostshell a également récupéré un ensemble de métadonnées telles que des adresses IP, des informations sur les équipements, des données de géolocalisation, les types de navigateurs ainsi que les dates de création et de dernière connexion des utilisateurs. Bien que les mots de passe des utilisateurs aient été chiffrés, les pirates ont pu facilement déchiffrer certains d’entre eux à l’aide d’outils en ligne facile d’accès. Dans certains cas, les couples nom d’utilisateur/adresse électronique et mot de passe sont inscrits en texte clair, ce qui peut permettre à un pirate d’effectuer d’autres intrusions, souligne Ghostshell.
Source : Pastebin
Et vous ?
Que pensez-vous de cette action menée par Ghostshell ?
Voir aussi
le forum Sécurité
Le groupe Ghostshell a utilisé des outils permettant de scanner les ports d’un serveur Web tels que Shodan.io, un moteur de recherche pour des services orientés Internet, afin de localiser des bases de données, tournant sur un serveur ouvert au public hébergeant le système de gestion de bases de données MongoDB. Les pirates ont également pu accéder aux données d’un grand nombre de bases de données sur 110 serveurs Web différents, connectés à Internet, et qui ne nécessitent pas d’identifiants de connexion pour y accéder. Ils ont alors pu télécharger un volume donné des caches des différents serveurs. Au total 6 gigaoctets de fichiers non compressés ont ainsi pu être récupérés par les pirates sur ces serveurs « mal configurés ».
Les pirates tirent la sonnette d’alarme sur le fait que des serveurs mal configurés peuvent « permettre à quiconque d’infiltrer un réseau » et donc d’avoir « accès à la gestion interne des données ». La personne infiltrée pourrait ainsi, sans pour autant avoir des privilèges d’administrateur dans le système, avoir un accès total aux données. Elle pourra alors créer de nouvelles instances de bases de données, supprimer celles qui existaient, modifier les données, entre autres actions, préviennent les pirates.
La plupart des bases données attaquées par Ghostshell sont hébergées par des fournisseurs bien connus tels que Amazon Web Services ou encore Rackspace. Les pirates déclarent que même si les bases de données étaient différentes les unes des autres, ils ont été en mesure de retrouver les noms d’utilisateurs, les dates de naissance, les adresses mail, les numéros de téléphone, le sexe des utilisateurs, les informations concernant les moyens de paiement utilisés, les titres et les descriptions d’emploi et même les dates de mariage des différents utilisateurs. Ils ajoutent aussi avoir eu accès à du contenu provenant des médias sociaux tels que des identifiants de profils Facebook et Twitter, des photos de profils et les jetons utilisés pour identifier un utilisateur avec un service. Le contenu de certains messages envoyés par mail et qui ont été marqués « confidentiel » aurait aussi été découvert dans certains cas.
Au-delà des données des utilisateurs, Ghostshell a également récupéré un ensemble de métadonnées telles que des adresses IP, des informations sur les équipements, des données de géolocalisation, les types de navigateurs ainsi que les dates de création et de dernière connexion des utilisateurs. Bien que les mots de passe des utilisateurs aient été chiffrés, les pirates ont pu facilement déchiffrer certains d’entre eux à l’aide d’outils en ligne facile d’accès. Dans certains cas, les couples nom d’utilisateur/adresse électronique et mot de passe sont inscrits en texte clair, ce qui peut permettre à un pirate d’effectuer d’autres intrusions, souligne Ghostshell.
Source : Pastebin
Et vous ?
Voir aussi
-
TiranusKBXExpert confirmési ce genre d'évènement pouvait inciter les patrons à investir dans la sécurité informatique le bilan serait bien différentle 04/06/2016 à 21:31
-
MagnusMoiMembre éclairéBonjour !
Squisqui>Honte à moi, je ne le ferai plus un autre jour que le vendredi promis !
Comme le dirai Teal'c dans SG1 : "Indeed"
http://www.developpez.com/actu/67447...ante-publique/
Ce serait risible si la justice avait fait preuve de bon sens ...
Bon dimanche !le 05/06/2016 à 11:11 -
MouviiMembre du Cluble 06/06/2016 à 12:50
-
MagnusMoiMembre éclairéBonsoir,
La démarche de ghostshell est respectable et impressionnante si elle est réellement honnête (prévenir, alerter la conscience de admin-sys)
Maintenant ... Si demain je vais cambrioler une banque pour alerter les agents chargés de la sécurité, même armé de toutes les bonnes intensions du monde (et non d'un fusil à pompe) : ce sera case Prison
Parce que le lanceur d'alerte, le messager est toujours celui que l'ont abat ... (Et que voler, c'est mal m'voyez)
Maintenant je vais passer en mode troll (c'est samedi tout est permis) :
Troll = True
Quand monsieur Patapon télécharge l'épisode 15678 de "trop sous le soleil de la vie du destin de Pauline", pour certain, il n'empêche pas le vendeur de garder les données vidéos de l'épisode afin de continuer de le vendre, ces certaines personnes argueront que ce n'est pas du vol ... mais une copie ... donc que personne ne sera lésé ...
ghostshell n'a donc rien voler en partant de ce principe !
Ces victimes continuent de bénéficier de leur fichiers et données, ghostshell n'a quecopié les données ...
Voilà pour la provoque en mode Troll ...
Troll = False
Bonne soirée et prenez soin de vous !
Petit Suisse : "c'est samedi tout est permis" c'est vraiment con comme rime en fait vu tous les jours finissant en ile 04/06/2016 à 20:51 -
SquisquiEn attente de confirmation mailMagnusMoi> C'est amusant de faire une comparaison avec du vol tout en soulignant que ce n'est pas du vol. Et d'abord, Trolldi, c'est Vendredi.
Ces cas particuliers de « piratage » sont tellement risibles. Il me semble qu'il est déjà arrivé que du contenu censé être confidentiel soit indexé dans les moteurs de recherche. C'est dire à quel point il ne faut pas trop se forcer.le 04/06/2016 à 21:10 -
Andre.newFutur Membre du Clubbeaucoup ont oublié lorsque l'ère de l'informatique a démarré, des hackers ont averti les grands groupes industriels de la défaillance de la sécurité de leur système informatique,
aujourd'hui, il y en encore des hackers qui décident d'intervenir dans le même sens,
beaucoup ont oublié qu'à l'époque, beaucoup de lanceurs d'alertes se sont retrouvés en prison pour un soit-disant espionnage industriel,
personne ou peu de personnes ont accepté de croire qu'il y avait des défaillance,
aujourd'hui, on ne dénombre plus les défaillances,
mais les données qui sont détournées sont incalculables,
il serait peut-être temps que nos grands groupes arrêtent de croire qu'ils sont invulnérables,
combien d'emplois ont été perdu ?le 13/06/2016 à 16:01 -
Andre.newFutur Membre du Clubnul ne peut savoir ce qu'il se serait passé s'ils avaient accepté ces lanceurs d'alerte
c'est sans compter sur les dommages collatérauxle 14/06/2016 à 5:57 -
SquisquiEn attente de confirmation mailParfait, je pensais exactement à cette affaire sans trop me souvenir comment la retrouver.
Pas sûr que l'incompétence détruise plus d'emplois qu'il n'en crée
Dans un monde parfait, on en ferait le plus possible avec le moins possible.le 13/06/2016 à 20:51