Imprimer

Merci de vous connecter ou de vous inscrire.
1 heure 1 jour 1 semaine 1 mois Toujours
Connexion avec identifiant, mot de passe et durée de la session

[Nemo492]

Dear valued community members,

On the 22nd of July 2013, it was discovered that unauthorized access to our website and database has been obtained on the 20th of July.
The method is similar to the hacks that were recently conducted at other websites, even though those sites used other software.
One of the admin accounts password was discovered, and from there further escalation wasn't too difficult considering admin privileges can do just about anything.

Unfortunately, we are 100% sure that our user database has been stolen.
As such we HIGHLY RECOMMEND, even implore you, to:
1.) Change your password on other websites you are using, if you use the same password there. This is very important to do, as it also will help prevent other websites being hacked through your compromised password, if it is compromised.
2.) Change your password here on our website.
3.) If you use the password you use here anywhere else, say for example to login to your webhost, it is highly urged to change it.
4.) Please note that personal messages may have also been compromised. We don't know for sure if the hacker only downloaded the user tables or not, although that's the only thing he/she is after. If they did: keep in mind that passwords you shared through PM should now be considered vulnerable. It's best not to take the risk and gamble, and just change any password you shared through PM as well.
5.) Charter members, current and past, are encouraged to change ALL passwords if they ever sent any in to us. That would include FTP.

Please keep in mind:
This is !!NOT!! a security issue with the SMF software. If you are running the latest SMF version you have nothing to fear from this hack if you use different passwords.

The method used by the hacker is that a database is downloaded from another hacked website, the passwords are attempted to be decrypted and if it is successful: they try to login to other websites using that username & password, or try to cross-reference by using password reset links.
Unfortunately for us, a Administrator used the same password elsewhere on another site and access to our site was obtained when the password from the other hacked site was successfully decrypted. As a result, the hacker was able to login here with admin rights.
Hundreds of websites have been hacked lately by using this method, so you are highly encouraged to change your passwords...

... And remember: don't use the same password on multiple sites! It helps to prevent hacks like this.

Thank you for your consideration and we deeply apologize for any inconvenience this causes for you.
By changing your passwords, you will help ensure that other sites do not fall victim to this method of hacking and help put a halt to the hacking spree that has affected hundreds, if not thousands, of websites already.

Kind regards,
Board of Directors
Simple Machines

[katchina]

Les non anglophones ne comprennent pas Nemo.

[Nemo492]

Les non anglophones ne comprennent pas Nemo.

Je résumerai en français si ça vaut le coup.
J'attends surtout une réaction technique de OliCat par exemple,
avant d'inviter chacun ici à changer son mot de passe...

[Argonot]

Ce n'est pas la première fois que cela arrive, semble-t-il .
Il existe aussi un outil de scan et nettoyage de forums SMF :
http://www.simplemachines.org/community/index.php?topic=313201.0

[OliCat]

Hello,

Pas de panique :-p
Le "leak" (fuite de données) concerne les forums SMF (ceux du site simplemachine.org), ne concerne pas la sécurité du forum elle-même et évidemment pas celui installé ici.

Ce qu'il faut, c'est changer le mot de passe utilisé sur leur forum si quelqu'un à un compte chez eux. Surtout, les mêmes mots de passe étant généralement utilisés par commodité, un mot de passe volé à un endroit ouvre potentiellement les portes d'autres lieux..

OliCat
 

[savonnette]

faut être couillon pour créer un mot de passe unique pour les forums et les comptes en banque, nan ?

[katchina]

Faut être bêta tout court pour utiliser le même mot de passe pour plusieurs sites (banque, mutuelle, opérateur téléphonique, etc...).
A la rigueur, pour les forums, et encore !

Surtout que pour la plupart des sites (banques mis à part, c'est plus embêtant) il suffit d'en demander un nouveau si on l'a oublié.

[OliCat]

Hello,

Faut être bêta tout court pour utiliser le même mot de passe pour plusieurs sites (banque, mutuelle, opérateur téléphonique, etc...).
A la rigueur, pour les forums, et encore !

Surtout que pour la plupart des sites (banques mis à part, c'est plus embêtant) il suffit d'en demander un nouveau si on l'a oublié.

faut être couillon pour créer un mot de passe unique pour les forums et les comptes en banque, nan ?

Et pourtant...

OliCat
 

[katchina]

Et je dirais même plus, il me paraît prudent de changer de mot de passe de temps en temps (c'est conseillé par les banques).

Pour ceux qui en ont beaucoup et qui ont peur de les oublier, quelques trucs pour les noter sur un support papier (ne pas laisser traîner n'importe où quand même).

http://www.securite-informatique.gouv.fr/autoformations/motdepasse/co/Mots_de_Passe_CH01_SCH02_U03.html]

Si vous utilisez les premières lettres d'une phrase ou d'une citation, sur votre support papier vous notez :

site truc = nom de l'auteur de la citation (pour vous ça suffit, pour les autres c'est introuvable).
pareil pour site machin et site bidule.

[DecemberTen]

Mouais, peut-être pas trop mauvais en mots de passe, l'auteur de ton lien, par contre, en orthographe, c'est la cata...
Je sais, ce n'est pas le sujet, mais c'est plus fort que moi, ça pique les yeux.
Il arrive même à en faire dans le titre !

[katchina]

Oui mais là c'est juste pour que tu lises les exemples.

Quand tu as choisi ta phrase et fait ta réduction-charabia-mot-de-passe, tu ne la vois plus jamais puisque quand tu le tapes tu n'as que des ..... sur ton écran.

Et tu ne te souviens pas non plus du charabia qui fait mal aux yeux (si on me demandait mon mot de passe je serais incapable de le dire, je ne le connais pas, je connais uniquement la phrase que j'ai choisi et ce sont mes doigts qui tapent les touches qui correspondent à chaque mot). 

Il arrive même à en faire dans le titre !

Oui je sais, j'ai vu, je n'ai pas voulu privilégier un blog plutôt qu'un autre, j'ai mis un lien officiel, "sécurité informatique.gouv".
Ce ne sont pas toujours des littéraires qui ont la charge d'alimenter les sites, et AMA, pour cette rubrique, ils ont mis un informaticien.