C’est malheureusement fréquent, un site vient de se faire visiter par des pirates. Le côté gênant de cet acte est que ce site n’est rien d’autre que Skyblog et qu’il compte plus de 32 millions de jeunes utilisateurs en Europe.
Les mots de passe n’étaient toujours pas cryptés malgré une précédente remarque de la CNIL(commission nationale informatique et liberté) et ils ont pu être récupérés par les visiteurs indélicats.
C’est le site bien renseigné ZATAZ.com qui donne l’information. On ne connait pas la date de cette intrusion. C’est lors d’un audit de routine des serveurs qu’a été découvert la « porte dérobée » qui a permis libre accès aux pirates. Cela a été le fait d’une mauvaise configuration du nouveau service Waka.
Il est à noter la bonne réactivité des informaticiens du site qui ont pris un ensemble de mesures afin de sécuriser l’accès et notamment désormais il vous est obligatoire de changer votre mot de passe dès votre connexion.
On ne le répètera jamais assez : variez vos mots de passe et évitez absolument de prendre le même pour l’ensemble de vos connexions !!!
MàJ : Skyrock nous a contacté et souhaite apporter quelques précisions à propos de notre article :
Une tentative d’intrusion a eu lieu sur nos systèmes le mercredi 19 mai.
Nous n’avons à ce stade aucune certitude sur l’éventuelle action de
l’intrus. C’est à titre préventif que nous avons pris des mesures de
protection internes. De plus, nous avons incité nos utilisateurs à
changer leur mot de passe. Le service a publié une alerte sécurité
vendredi 21 en fin de matinée
(http://lequipe-skyrock.skyrock.com/…). Les autorités judiciaires ont été informées en vue d’une plainte.
On ne peut déterminer à ce stade si l’application « waka » était
concernée.
Concernant le stockage des mots de passe, pour des raisons de sécurité,
nous conservons dans une base protégée un historique des mots de passe.
Cet historique permet, d’une part, d’assister les utilisateurs lors des
vols de mots de passe et, d’autre part, de restituer leur mot de passe
aux utilisateurs qui le demande et dont les emails d’inscription ne sont
plus valides.
La CNIL a contrôlé skyrock.com en octobre 2008 et n’a fait aucune
remarque sur nos procédures de sécurité.
Notre premier souci est la sécurité des utilisateurs et de leurs
données, nous mettons nos meilleures ressources en œuvre à cet effet.
Jérôme Aguesse, directeur de la production, délégué prévention et
sécurité.
Source : Zataz.com