Journal Merci Monster !!

Posté par  .
Étiquettes : aucune
0
22
août
2007
Des pirates ont réussi à pénétrer les serveurs Web du site de recherche d'emploi Monster.com et voler [...] plus de 1,6 million de données concernant plusieurs centaines de milliers d'utilisateurs.

Le coupable ? Une variante d'un cheval de Troie baptisé Infostealer.Monstres. Les informations piratées sur les serveurs Web du site comportent les noms, les adresses électroniques et postales, les numéros de téléphone, les logins et mots de passe.
http://www.reseaux-telecoms.net/actualites/lire-monster-se-f(...)

Génial. Comme ça les spammeurs pourront me souhaiter mon anniversaire à la bonne date et m'appeler par mon prénom...

La réalité c'est que mon compte chez eux était totalement périmé, que je ne mets jamais ma vrai date de naissance, que l'adresse stockée chez eux aboutira en NPAI mais quand-même. Ils sont au moins autant à blamer que ceux qui ont fait le coup.

Et stocker les mots de passe en clair, c'est inexcusable.

J'en ai profité pour supprimer mon compte chez eux, qui ne m'a jamais servi à rien de toute façon...

  • # .com

    Posté par  . Évalué à 5.

    D'après /.
    http://it.slashdot.org/article.pl?sid=07/08/22/058239&fr(...)

    qui renvoit là:
    http://news.bbc.co.uk/1/hi/technology/6956349.stm

    Ça concernerait uniquement le site US. Je me serais donc peut-être légerement emballé.... 8-)

  • # Pas grave !

    Posté par  . Évalué à 2.

    Les informations récoltées par Monster ne sont pas différentes de celles affichées dans un simple carnet d'adresses.


    (selon la direction de Monster elle-même)

    Ça ne va pas inciter les internautes à dévoiler leurs identités réelles, ça... Contrairement aux souhaits de nombreuses personnes (police & autorités, on peut aussi penser à https://linuxfr.org/~nelis/25139.html ...)

    La politique de gestion des mots de passe est en effet plus qu'étonnante, totalement inexcusable en effet !
    Mais vu la faiblesse des mots de passe "habituels" et les moyens apparents de ceux qui ont réussi le coup, ils auraient certainement pu en récupérer un certain nombre grâce aux programmes spécialisés existants, cela aurait limité en partie le problème mais pas totalement.

    Est-ce que l'utilisation d'un cheval de Troie est courante dans ce genre de choses ?

  • # Gni?

    Posté par  (site web personnel) . Évalué à 3.

    Je suis allé voir ici : http://toolbar.netcraft.com/site_report?url=http://www.monst(...)

    et ici : http://toolbar.netcraft.com/site_report?url=http://www.monst(...)

    et je vois que Monster a comme OS "Linux" et comme Web Server "Microsoft-IIS/6.0"

    Quelqu'un peut m'expliquer comment c'est possible?

    • [^] # Re: Gni?

      Posté par  . Évalué à 9.

      Si tu as un (ou plusieurs) frontal sous Linux qui fait de la répartition de charge pour plusieurs serveurs windows/iis, les caractériques réseaux seront celles de Linux, alors que les headers du serveur web répondront bien IIS.

      (ou alors ils ont IIS qui tourne sous wine ;-)</joke>

    • [^] # Re: Gni?

      Posté par  . Évalué à 3.

      A moins qu'ils aient "maquillé" ce que doit renvoyer Apache, j'en ai vu le faire :-)

  • # Ras le bol des mots de passe

    Posté par  . Évalué à 5.

    Je sais pas vous, mais moi je n'ai pas 50 mille mot de passe différents, un pour chaque site web, mais plutot un mot de passe pour mes données sensibles (root/compte email/keystore firefox) et un autre mot de passe pour les autres (linuxfr, monster, e-commerce, etc..) [1]. D'ou ce genre de trucs qui m'énnerve quand j'apprends qu'un abruti de site s'est fait pirater et que les mots de passe étaient en clair...

    Et vous comment faites vous ? un mot de passe par site ? comment faire alors pour les retenir (à part le gestionnaire de mots de passe... car on est pas toujours sur le même ordi...)

    D'ailleurs, quand c'est que linuxfr (et d'autres) passe à l'OpenID, ça sera déjà ça de pris ??! [2]

    [1] Encore que c'est pas toujours évident, parce que tous les sites n'ont pas la même polique de robustesse des mot de passe...

    [2] https://linuxfr.org/tracker/457.html

    • [^] # Re: Ras le bol des mots de passe

      Posté par  . Évalué à 4.

      Sur les sites où je ne vais que tous les 32 du mois, j'utilise assez facilement un mot de passe unique (et commun). Cela suppose aussi qu'il n'y ait aucune info sensible associé à ce login. Le pire que je «risque» est donc une usurpation de pseudo. (mais d'un autre côté n'importe quel glandu peut se créer un compte avec mon pseudo favori sur tous les sites ou je ne me suis pas encore connecté (et il y en a quelques millions...)

      Si il y a des infos personnelles et/ou sensibles, ou que je m'y connecte régulièrement, c'est mot de passe individuel obligé. Après pour la gestion des 2^10 mots de passe, c'est chacun sa solution, du post-it à la clé usb... (moi c'est mon ordi portable toujours dans mes bagages ... ;-) )

    • [^] # Re: Ras le bol des mots de passe

      Posté par  . Évalué à 5.

      Il y a un plugin Firefox qui intercepte la demande de mot de passe et prends ton mot de passe et le combine le nom du domaine en un nouveau mot de passe (de façon non reversible).

      Ainsi tu utilise 1 mot de passe mais sur les site il y a que des mot de passe différents.

      J'ai oublié le nom de ce plugin

    • [^] # Re: Ras le bol des mots de passe

      Posté par  . Évalué à 3.

      moi pareil

      j'en ai 4 du genre:
      rebfiHiv3
      aipWetben8
      Warr8swir
      heycsAg8

      pour mes mails , compte ou il y a de l'argent en jeu etc... si je donne un mail je donne un mots de passe different du mots de passe pour acceder au mail, c'est pour cela que j'ai 4 mots de passe (2 mails principaux)

      puis le prénom de ma soeur pour tous le reste :) mais dernierement est apparu un probleme: la banque sur internet

      login: 12 chiffres ! 876543212345
      mots de passe: 6chiffres ! 123456

      pas moyen d'utiliser un super mots de passe et pour le login pas moyen de le modifier. et c'est bien precisé de noter nulle part ! ces informations. pfff encore un truc apprendre par coeur et qui ne ressemble à rien.

      • [^] # Re: Ras le bol des mots de passe

        Posté par  . Évalué à 2.

        login: 12 chiffres ! 876543212345
        mots de passe: 6chiffres ! 123456

        Tiens ? Tu es au Crédit Mutuel ? Ou alors certaines banques ont le même système en commun...

        • [^] # Re: Ras le bol des mots de passe

          Posté par  . Évalué à 4.

          Pareil à la Société Générale : login de 8 chiffres et pass de 6 chiffres, à taper sur un clavier virtuel.

          D'ailleurs je trouve ça très pénible ces claviers virtuels, j'ai toujours peur qu'on puisse voir le pass rien qu'en regardant l'écran, alors qu'avec un champs de texte normal aucun problème.

        • [^] # Re: mots de passe Crédit Mutuel

          Posté par  . Évalué à 1.

          En tous cas au crédit mutuel on peut le changer (mieux on est invité à le changer). Le nouveau que l'on saisit n'est pas forcé composé (que) de chiffres. (En tous pour le crédit mutuel des sables d 'olonne)


          -
          -
          Nassim

        • [^] # Re: Ras le bol des mots de passe

          Posté par  . Évalué à 2.

          Au crédit agricole aussi, 6 chiffres à taper sur un clavier virtuel (avec l'emplacement des chiffres qui change à chaque foi que l'on va sur la page).

          D'ailleurs ça m'a toujours étonné que pour ce genre de truc on est droit qu'a un mot de passe de 6 chiffres, je trouve ça un peu léger quand même.

      • [^] # Re: Ras le bol des mots de passe

        Posté par  . Évalué à 6.

        Ce n'est pas très prudent de donner tes mots de passe ici. Une personne mal intentionnée pourrait s'en servir !

    • [^] # Re: Ras le bol des mots de passe

      Posté par  (site web personnel) . Évalué à 3.

      Linuxfr passera à OpenID quand un contributeur proposera cette fonctionnalité ou qu'il y aura suffisamment de personnes qui auront voté pour. Pour le moment, 6 votes, ca fait un peu léger vu que ca demanderait pas mal de boulot pour le faire.

    • [^] # Re: Ras le bol des mots de passe

      Posté par  (site web personnel) . Évalué à 1.

      ma méthode pour un mot de passe :

      nomdusite + 3 chiffres (toujours le même) + prénom de ma copine (toujours le même :) )

      ça donne un truc du genre :

      linuxfr905Huguette
      gmail905Huguette
      ...

      • [^] # Re: Ras le bol des mots de passe

        Posté par  . Évalué à 1.

        Oui, mais du coup ça marche pas pour les sites avec des noms un peu longs et qui n'autorisent pas un mot passe plus long que 16 caractères par exemple...

      • [^] # Re: Ras le bol des mots de passe

        Posté par  (site web personnel) . Évalué à 1.

        Je me contente de la première lettre du domaine / nom du site. Pourquoi ? J'avais entendu que dans une boite, ils s'étaient amusés à reprendre le login/mdp d'utilisateurs et à l'essayer sur d'autre site, juste pour voir. Du coup, je ne change qu'une lettre pour que ça reste discret, que je place toujours à la même place, en plein milieu du mot de passe...

        • [^] # Re: Ras le bol des mots de passe

          Posté par  . Évalué à 8.

          Merci de l'info. Cela explique pourquoi nous ne pouvions pas acceder à tes autres comptes, mais maintenant ca marche.

  • # info et téléphone arabe

    Posté par  (site web personnel) . Évalué à 10.

    Il est toujours marrant de voir comment l'info est déformée au fur et à mesure qu'elle est reprise:

    Des pirates ont réussi à pénétrer les serveurs Web du site de recherche d'emploi Monster.com et voler [...] plus de 1,6 million de données concernant plusieurs centaines de milliers d'utilisateurs


    N'importe quoi. Il n'y a pas eu compromission ni hack des serveurs de monster.com justement. Les attaquants ont utilisé un trojan qui récupérait les informations sur monster.com . Il n'y a pas eu "1.6 million de données" piratées, mais Symantec a trouvé 1.6 million de fichiers (including duplicate records.) contenant des infos sur monster.com sur le serveur où le trojan envoyait ses données.

    Les mots de passe n'ont pas été récupéré sur monster.com (c'est quoi ce délire sur les mots de passe en clair?!?)

    Pour résumer: les pirates ont obtenu (comment? on ne sait pas encore) les identifiants de certains employeurs utilisant monster.com pour leur recrutement. Ils les ont ensuite utilisé leur trojan pour lancer un maximum de recherche de CV sur le site afin de récupérer autant d'info et d'email que possible.

    Une fois les infos récupérées le trojan envoyait des emails de phishing aux personnes concernées afin de récupérer leurs identifiants.

    Voila, donc entre ce que symantec (qui est la source originale de l'information) a dit, entre ce que reseau-et-telecom.com a ecrit et ce que toi tu as compris, il y a un monde.. cela n'a absoluement rien à voir. Je n'ai jamais utilisé monster.com mais ils n'ont pas l'air d'avoir grand chose à se reprocher dans l'affaire...

    D'ailleurs je t'invite a aller lire l'annonce de symantec justement:
    http://www.symantec.com/enterprise/security_response/weblog/(...)

    • [^] # Re: info et téléphone arabe

      Posté par  . Évalué à 3.

      Voila, donc entre ce que symantec (qui est la source originale de l'information) a dit, entre ce que reseau-et-telecom.com a ecrit et ce que toi tu as compris, il y a un monde
      Euhh, j'ai compris ce qu'a écrit reseaux-telecom. Si des mots ont été récupérés, c'est qu'ils étaient stockés en clairs. Sinon tu récupéres juste un hash du mot de passe...

      à mon avis c'est ce passage qui a été mal [com|re]pris par le site que j'ai cité.
      the Trojan appears to be using the (probably stolen) credentials of a number of recruiters to login to the Web site and perform searches for resumes
      Mot de passe volé => oulà ça va faire vendre...

      Désolé de m'être fait prendre au piège. Mais où va t'on si on ne plus faire confiance à ce qui est écrit sur le web[1] ? Merci d'avoir rectifié ;)

      [1] si vous aviez un doute, c'est bien du second degré...

  • # Annuler son compte

    Posté par  . Évalué à 6.

    J'en ai profité pour supprimer mon compte chez eux, qui ne m'a jamais servi à rien de toute façon...
    Il est peut-etre désactivé mais tes données sont toujours sur le serveur.

    C'est trop tard.

  • # J'adore

    Posté par  (site web personnel) . Évalué à 3.

    Le problème ce n'est pas leur sécurité hein, mais un cheval de troie bien connu. Bref, la faute aux pirates. Pire, il s'agit d'une variante d'un cheval de troie, alors vous pensez s'ils y sont pour rien.

    Le fait que le nom du cheval de troie soit "Infostealer.Monstres" n'est qu'un pur hasard. On ne laisserait certainement pas entendre que ce sont simplement quelques lignes de code qui exploitent une faille de *leur* infrastructure.

    Bref, on a exploité un problème de leur côté, le gentil gars de la société antivirus a nommé le machin "tiens, un truc fait pour voler les infos à monsters, on va le nommer infostealer.monster" et tout de suite au lieu d'être une faille de sécurité ça devient "une variante d'un cheval de troie".

    C'est beau la communication.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.