Bitcointalk attaqué, HS et peut-être compromis : changez vos mot de passe !



  • Le forum bitcointalk est hs depuis cette nuit, et risque de l’être pour encore 1 à 2 jours.
    Celui-ci a été victime d’une attaque qui a permis à l’attaquant d’avoir un accès au serveur pendant 12 minutes, ce qui pourrait lui avoir permis de récupérer une partie de la base.

    Dans un soucis de sécurité, si votre mot de passe bitcointalk était partagé avec d’autres sites (comme CryptoFR), pensez à changer vos mots de passe pour éviter un possible piratage.

    Réponse de theymos (créateur de bitcointalk) sur reddit :
    http://www.reddit.com/r/Bitcoin/comments/36tqq4/bitcointalk_server_compromised_due_to_social/crh0swt

    https://twitter.com/bitcointalk/status/601556710130515969



  • @ffmad : et voilà, toute la planète Bitcoin va se reporter sur CryptoFR pour discuter du BTC…
    Tu vas pas t’ennuyer pour préparer une telle montée en charge… Bon courage…
    J’espère sincèrement que tu auras quand même le temps de manger la pizza ce soir… mais si ça te coupe l’appétit, je mangerai ta part :smile:
    @+



  • J’imagine qu’avec les nombreuses attaques précédentes l’algorithme pour signer les mots de passe a été rendu plus que costaud. Donc, normalement, même en récupérant la base de données, l’attaquant ne pourra rien en faire (du moins, en ce qui concerne l’accès aux comptes).

    Est ce que les messages privés sont cryptés? Il semblerait plus que logique de protéger surtout cette partie là du forum car données très sensibles.



  • Et d’ailleurs, j’ai, sur Bitcointalk.org, un mot de passe de “seulement” 11 caractères (majuscules et minuscules seulement) : Est-ce que vous savez si c’est facilement craquable si un hacker récupère la BDD cryptée ?



  • @Crypto_King a dit :

    Et d’ailleurs, j’ai, sur Bitcointalk.org, un mot de passe de “seulement” 11 caractères (majuscules et minuscules seulement) : Est-ce que vous savez si c’est facilement craquable si un hacker récupère la BDD cryptée ?

    non c’est assez compliqué. A vrai dire comme @Anémol le dit je pense que le risque est faible, mais on est jamais trop prudent :)


  • Bitcoiner

    @Crypto_King a dit :

    Et d’ailleurs, j’ai, sur Bitcointalk.org, un mot de passe de “seulement” 11 caractères (majuscules et minuscules seulement) : Est-ce que vous savez si c’est facilement craquable si un hacker récupère la BDD cryptée ?

    Déjà faudrait qu’ils aient récupérer ton mot de passe, et de deux faudrait qu’ils prennent le temps d’essayer de le craquer parmi tout ceux qu’ils auront récupérer… Donc il y a peut de chance que ton mot de passe soit compromis mais on est jamais trop prudent ^^ ( et tu devrais rajouter chiffres et caractères spéciaux sur ton nouveau mdp pour qu’il soit plus difficile à craquer ou à trouver :p )

    BTC : 1BWZ3FE6VQqsfMwUp7uwcu6GQ2BeeNQJRi | NXT : Seccour

    0


  • Normalement, la longueur du mot de passe devrait ne pas intervenir si tu n’as pas accès à l’algorithme de cryptage. Il existe mille et une manière de crypter un mot de passe (multiple hashages, ajout de caractères, inversion, etc). Si l’attaquant n’a pas accès à cet algorithme, il va se retrouver avec une signature sans savoir trop quoi en faire. Pour attaquer en “force brute”, il faut cet algorithme par exemple.

    La génération de la signature du mot de passe peut se faire sur une autre machine (serveur de clés). Ainsi, lors d’attaques, il faut pouvoir avoir accéder à deux machines et non une seule (déjà plus difficile).

    A savoir si BitcoinTalk utilise de tels procédés, en théorie il ne devrait pas être possible de le savoir: une bonne sécurité ne mentionne pas ce genre d’informations.

    Dans une chaîne de sécurité, c’est très souvent le maillon humain le maillon faible.



  • Ok je me connecte enfin (sur cryptofr)

    Savez vous si d’autres informations sont compromises ?



  • @superresistant a dit :

    Ok je me connecte enfin.

    Savez vous si d’autres informations sont compromises ?

    Les hackers ont eu accès au serveur en entier. Ce qui explique que bitcointalk soit HS pour 1 à 2 jours, ils vont devoir vérifier beaucoup de choses …

    The forum’s ISP NFOrce managed to get tricked into giving an attacker access to the server

    Le hosteur qui s’est fait berner vraisemblablement : https://www.nforce.com/


  • Etherian

    Comme quoi le problème se trouve souvent entre le clavier et la chaise



  • @Anémol a dit :

    Normalement, la longueur du mot de passe devrait ne pas intervenir si tu n’as pas accès à l’algorithme de cryptage. Il existe mille et une manière de crypter un mot de passe (multiple hashages, ajout de caractères, inversion, etc). Si l’attaquant n’a pas accès à cet algorithme, il va se retrouver avec une signature sans savoir trop quoi en faire. Pour attaquer en “force brute”, il faut cet algorithme par exemple.

    La génération de la signature du mot de passe peut se faire sur une autre machine (serveur de clés). Ainsi, lors d’attaques, il faut pouvoir avoir accéder à deux machines et non une seule (déjà plus difficile).

    A savoir si BitcoinTalk utilise de tels procédés, en théorie il ne devrait pas être possible de le savoir: une bonne sécurité ne mentionne pas ce genre d’informations.

    pour information au niveau du cryptage du mot de passe :

    theymos : Yes, each password has a 12-byte unique salt. The passwords are hashed with 7500 rounds of SHA-256.

    @Anémol a dit :

    Dans une chaîne de sécurité, c’est très souvent le maillon humain le maillon faible.

    @sangoku a dit :

    Comme quoi le problème se trouve souvent entre le clavier et la chaise

    Ici c’est clairement le cas :/



  • @ffmad a dit :

    pour information au niveau du cryptage du mot de passe :

    theymos : Yes, each password has a 12-byte unique salt. The passwords are hashed with 7500 rounds of SHA-256.

    C’est peut être de l’intoxication. C’est une bonne parade également pour leurrer. :-)

    Tu glisses quelque part sur le site ou le serveur, “avec maladresse” (Ooops!!) le type de cryptage utilisé, histoire de faire croire à une bonne prise de guerre aux pirates et concentrer leur effort cette voie.



  • c,est un bon site pour parler de bitcoin mais il y,a trop de coins pump and dump c,est dommage pour le site



  • messages envoyé à tous les utilisateurs :

    You are receiving this message because your email address is associated
    with an account on bitcointalk.org. I regret to have to inform you that
    some information about your account was obtained by an attacker who
    successfully compromised the bitcointalk.org server. The following
    information about your account was likely leaked:

    • Email address
    • Password hash
    • Last-used IP address and registration IP address
    • Secret question and a basic (not brute-force-resistant) hash of your
      secret answer
    • Various settings

    You should immediately change your forum password and delete or change
    your secret question. To do this, log into the forum, click “profile”,
    and then go to “account related settings”.

    If you used the same password on bitcointalk.org as on other sites, then
    you should also immediately change your password on those other sites.
    Also, if you had a secret question set, then you should assume that the
    attacker now knows the answer to your secret question.

    Your password was salted and hashed using sha256crypt with 7500 rounds.
    This will slow down anyone trying to recover your password, but it will
    not completely prevent it unless your password was extremely strong.

    While nothing can ever be ruled out in these sorts of situations, I do
    not believe that the attacker was able to collect any forum personal
    messages.

    I apologize for the inconvenience and for any trouble that this may cause.



  • Reçu le même mais dans la mesure où leur site n’est pas en ligne, il est difficile de modifier son mot de passe! :D

    Je vais rendre mon mot de passe nettement plus complexe. Au lieu de 1234 je vais mettre 12345



  • @Anémol l’air de rien c’est déjà nettement plus complexe ^^



  • bitcointalk semble être de retour cette fois-ci

    n’oubliez pas de changer votre mot de passe, et vos questions personnelles également