Bonjour à tous,

Je viens de recevoir un e-mail bidon comme quoi un h4ck3r aurait récupéré tous mes mdp et que genre il a vu que je regarde du porn bien dégueulasse. Du coup il me demande du fric en échange de son silence.

Bon, j'avoue que ça m'a fait rire quelques secondes! Par contre dans ce mail on m'a envoyé un mdp "pour montrer qu'il dit la vérité" et il m'a sorti le mdp que j'utilise sur MagicVille...

Donc même si tout ça c'est de la merde, je soupçonne qu'il y a dû y avoir une fuite du côté de MagicVille. Je n'utilise ce mdp que sur ce site et on m'a envoyé ce mail sur l'adresse avec laquelle je me suis inscrit sur MV.

Je vous avoue que je n'ai pas changé de mdp depuis le moment où j'ai créé mon compte sur MV (il doit y avoir 10 ans, putain je suis vieux). En même temps je ne me connecte sur MV que pour entrer un deck tous les 6 mois. Je n'y voyais pas l'utilité.

J'ai donc changé de mdp et d'adresse mail, et je ne me fais pas beaucoup de soucis. Mais je tenais à mettre les gens en garde. Je suppose que si mes informations ont été trouvées, ça peut aussi être votre cas.

P.S.: Je ne regarde pas de porn bien dégueulasse, pas le peine de me demander de liens (petits coquins)!

Tu mattes du porn bien propre du coup ?

Tout à fait, si l'acteur/actrice ne s'est pas nettoyé au javel devant la caméra, très peu pour moi.

Déjà première défense c'est d'assumer, tu regardes du porno degueu et alors ??
Tu seras ni le premier, ni le dernier.
Ensuite tu peux tjs déposer plainte, parce que le chantage est un délit.
jamais céder au chantage

Mail similaire ya quelques mois, j'avais remarqué aussi que ça venait de MV. G changé de mdp depuis, mais j'ai pas vu s'il m'a parlé de mon porno préféré.
Hésitez pas à changer de mdp, et regarder le porno que vous aimez(mais autorisé par les lois de votre contrée).

(le jour où un hacker me fera peur, il faudra qu'il m'annonce ce que j'ai mangé à midi! Là c'était tartiflette végétarienne maison)

Idem pour moi.
Il a donc dû y avoir un piratage de la base d'utilisateurs de magic-ville...

J'en ai reçu deux aussi weekend dernier.

J'ai changé mon mdp d'adresse mail.

Salut Ender241, je sais ce que tu as mangé ce midi !

@lablaisaille: MERDE! Comment?? Merde c'est un vrai hacker celui-là :x

Pour info, il y a bien eu possibilité d'interception de certains mdp sur MV quand le site ne redirigeait pas systématiquement sur le https. Donc, si vous étiez sur http et par sur https il y a qq mois, oui, il serait bon de changer votre mot de passe. La fuite ne vient pas à priori d'un hack de la base de données site, dans laquelle les mots de passe ne sont pas stockés en clair.

Souvent, il est fait mention d'une adresse et d'un mdp (jamais du login) dont l'association correspond pas à celle sur MV, donc ils y vont un peu au pifomètre pour faire peur.

Et enfin, "to the best of my knowledge", MV n'a jamais installé ou hacké de caméras chez les magicvillois pour observer leur comportement devant des images pornographiques, donc mollo avant d'envoyer des fonds sur un compte bitcoin.

Fais gaffe, un truc aussi dégueulasse je suis pas sûr que ce soit légal.

Intéressant. J'allais demander des précisions mais tu en as apporté quelques-unes. Je recommande à tous ceux qui utilisent le même mot de passe ou un mot de passe proche de celui utilisé sur MV de le changer sur tous les autres sites. Le changer sur MV est également recommandé dès maintenant (en ne prenant surtout pas le même mot de passe que sur un autre site), mais également une fois la faille identifiée et corrigée.

Attention cependant, il y a pas mal de types d'attaque possibles pour récupérer un mot de passe.

Déjà, si les mots de passe sont chiffrés en base de données, récupérer la clé de chiffrement permet de les lire sans problème. Les mots de passe devraient plutôt être hashés (si possible avec un salt pour compliquer la tâche lors des attaques de type rainbow table).

Ensuite, même si l'application ne stocke que des hash de mots de passe, celui-ci reste vulnérable à plusieurs moments lors de la connexion de l'utilisateur.

Sur la machine de l'utilisateur
Si un script malicieux est présent dans la page il peut lire le mot de passe sans problème et l'envoyer sur un serveur quelconque. La machine du client peut aussi être infectée (malware) sans rapport avec MV en particulier. Un simple accès aux mots de passe enregistrés dans les options du navigateur par un proche ou toute personne ayant un accès physique à la machine est également possible.

Dans la requête HTTP de connexion
Lors de la validation du formulaire de connexion, si la connexion n'est pas sécurisée par HTTPS, ou si la clé privée du certificat SSL associé a fuité, la requête HTTP est vulnérable aux attaques de type man-in-the-middle ou network sniffing. Elles sont simples à réaliser sur un réseau local ouvert (wifi non chiffré par exemple) en utilisant une simple extension dans le navigateur de l'attaquant ou un analyseur réseau, mais beaucoup plus complexes à réaliser sur un réseau local sécurisé ou sans avoir accès au réseau local de la victime (en gros il faut avoir un accès à un des équipements réseau entre la victime et le serveur de l'application).

Dans la RAM du serveur applicatif
Même si le serveur ne persiste pas le mot de passe saisi par l'utilisateur en base de données, il doit forcément au moins récupérer et hasher celui qui a été saisi par l'utilisateur lors de sa tentative de connexion, avant de comparer le résultat avec le hash sauvegardé en base. Par conséquent le mot de passe existe en clair dans la RAM du serveur MV au moins pendant un court laps de temps à partir de la tentative de connexion.

Des attaques de type heartbleed permettent d'accéder à des extraits de la RAM de l'application et récupérer (entre autres) ce genre d'informations. Il est également possible pour un hacker ayant eu un accès admin au répertoire physique hébergeant le code de l'application, de déposer une version vérolée modifiée du code, qui envoie les mots de passe saisis par tous les utilisateurs à l'attaquant.

---------------------

Étant donné les infos présentées jusque là :
- Extraction des mots de passe depuis un dump de la base de données : probable si les mots de passe ne sont pas hashés (PBKDF2-style).
- Serveur applicatif compromis : envisageable étant donné la très forte recrudescence d'attaques bruteforce SSH via botnet notamment sur les serveurs OVH ces derniers mois. J'ai moi-même dû prendre certaines mesures pour endiguer le flot sur mon serveur perso (filtrage IP, etc.).
- Attaque XSS : envisageable, j'ai moi-même identifié (et déjà remonté à JMB) au moins une façon d'exploiter cette faille, mais elle ne permet pas dans mon cas la récupération du mot de passe. Il faudrait faire une passe sur les différentes pages où on peut se connecter pour vérifier la présence de scripts de ce genre.
- Man-in-the-middle pré-HTTPS (évoqué par JMB) : envisageable mais peu probable selon moi, vu la complexité de mise en œuvre et la faible exposition de MV.
- Heartbleed : improbable, a priori la version de modssl devrait trop récente pour permettre d'exploiter la faille.
- Sniffing de réseau local : improbable en raison de l'envergure de l'attaque (plusieurs personnes sans lien apparent affectées).

Il y a aussi la possibilité d'une autre faille non identifiée, ou d'une infection des machines clientes sans rapport avec MV (keylogger, trojan, extension navigateur corrompue, etc.).

La base de la SMF a été dépouillée y'a un moment. J'utilise toujours des mots de passe différents et les spams du genre que je reçois font uniquement référence au mot de passe que j'avais là-bas.

J'ai aussi reçu de nombreux mails depuis le mois de septembre 2018.

Le mail est soi-disant envoyé de ma propre boîte mail, avec comme preuve deux anciens mots de passe utilisés sur Magic-ville. Sauf que tous mes mots de passe sont différents et que celui de ma messagerie n'a rien à voir. Je n'ai donc pas cru à un piratage de ma messagerie.

Je continue à recevoir régulièrement ces messages, avec souvent un ultimatum de payer dans les 48 heures. Je n'ai aucune idée de la manière pour le faire cesser.

Ou alors c'est à force d'aller sur des sites porno qu'ils se sont faits infecter ! BIEN FAIT !

Il s'agit de vulgaires campagnes de spams sans soucis de sécurité. Étant donné que mon adresse mail a changé je ne suis pas impacté. Par contre cela signifie que mv a été hacké.

Merci pour les précisions JMB et Madmox! Comme je l'ai écrit j'ai changé mon mot de passe dès réception de ce mail bidon.

Je doute que le problème vienne de mon ordinateur, étant donné l'usage que j'en ai. Je ne ne télécharge pas des fichiers n'importe où et ne vais pas dans des sites "risqués" (malgré le fait qu'on a essayé de me le faire croire, oui parce que dans le mail le H4ck3r m'explique qu'il a déposé une balise sur un site porno et qu'en m'y rendant j'aurais activé un spyware qui a permis à notre ami de récupérer tous mes mots de passe, comme vous pouvez le voir c'est du grand n'importe quoi mais plus c'est gros mieux ça passe il paraît).

Je ne sais pas donc d'où ça vient exactement et -désolé Madmox- ça reste un peu flou. N'étant pas expert en informatique c'est compliqué de tout comprendre.

Je souhaite juste rajouter à tous ceux à qui c'est arrivé de ne pas paniquer, c'est juste de la merde ces menaces :)

Concernant un dépôt de plainte, j'ai autre chose à foutre que de faire de la paperasse pour un vieux spam bidon, les autorités ont mieux que ça à faire.

Il s'avère que mon adresse mail a été publiée sur internet (j'ai gagné un concours national où tous les lauréats ont été "mis en avant" sur un pdf en ligne, tous les candidats ont subis des spams suite à cela, merci à eux) depuis je reçois régulièrement des mails à la con. Mais c'est la première fois qu'on me fait le coup du H4ck3r.

Le mail est soi-disant envoyé de ma propre boîte mail aussi, je me demande comment ils font pour faire ça. J'avoue que je ne le comprends pas trop même si je ne me fais pas de soucis là-dessus. Mon désir est encore une fois de prévenir les autres.

J'en suis à 875 840 USD payés en Bitcoin, et pourtant je continue à recevoir des menaces. AIDEZ-MOI !

j'ai recu le mem mail et hop poubelle
et plus de nouvelles
c'est comme les mails des banques ce sont tous des faux
j'ai meme recu des avis de fermetures provisoires de mes comptes a tel banque a moins que j'appelle x numero de tel (banque ou je suis meme pas)
ou bien "vous avez un colis en attente" appelez ce numero 3 fois set reponder a la question posee
au troisieme appel
ben voyons ....

J'ai connu quelque maître chanteur amateurs, ils se demandent encore comment je les ai retrouver eux, leurs entourage et un paquet d'informations confidentiel en quelques heures ^^