xkcd

Le Forum XKCD piraté, plus de 522 000 comptes concernés

XKCD, a été la victime d’une brèche de données exposant les données des utilisateurs de leur forum. XKCD est l’une des plateformes de de bande dessinée en ligne les plus populaires.

La brèche de sécurité s’est produite il y’a deux mois. Selon le chercheur en sécurité Troy Hunt qui a alerté la compagnie de l’incident, des pirates inconnus ont subtilisé près de 562 000 noms d’utilisateurs, adresses email et adresses IP, ainsi que des mots de passe hachés.

Cependant, les données qui ont fuité ont été ont en fait été découvertes par le chercheur en sécurité et analyste de données Adam Davies, qui a partagé une copie de ces trouvailles avec Troy Hunt.

Au moment de l’écriture de cet article, le forum de XKCD est désactivé et un court préavis a été posté sur la page d’accueil. Ce préavis demande aux utilisateurs de changer leur mot de passe immédiatement.

xkcd

“Les forums de xkcd sont actuellement hors-ligne. Nous avons été alerté que des portions de la table d’utilisateur PHPBB de nos forums est apparue dans une collection de données qui ont fuité. Ces données incluent des noms d’utilisateurs, adresses email, des mots de passes salés et haché, et dans certains cas, les adresses IP lors de l’inscription.”

“Nous avons mis les forums hors-linges pour pouvoir les vérifier et être sûr qu’ils sont sécurisés. Si vous êtes un utilisateur des forums echochamber.me/xkcd , vous devriez immédiatement changer votre mot de passe pour tout les autres comptes sur lesquels vous utilisez le même mot de passe ou un mot de passe similaire.”

Les administrateurs du forum sont aussi en train d’alerter les utilisateurs affectés par email.

Comme mentionné, XKCD utilise phpBB, un logiciel de forum gratuit et open-source et programmé en PHP.

Nous ne savons pas si XKCD utilisait une ancienne version du logiciel qui était vulnérable ou qui avait une faille de sécurité ou si les pirates ont exploité une faille inconnue dans phpBB pour extraire les données sans autorisation.

Même si XKCD s’exécutait sur la version 3.1 de phpBB ou une version postérieure qui utilise l’algorithme de hachage BCRYPT, il est possible que les mots de passe des plus anciens utilisateurs du forum XKCD ont été chiffré en utilisant l’ancienne méthode de hachage MD5.

Que doivent faire les utilisateurs de XKCD?

Il est recommandé de changer immédiatement votre mot de passe XKCD et de faire de même pour vos autres comptes en ligne qui utilise le même mot de passe.

xkcd est une bande dessinée en ligne créée en 2005 par Randall Munroe, un ancien consultant sur les robots à la NASA. L’auteur la définit comme « un webcomic qui parle de romance, de sarcasme, de maths et de langage » . La bande est disponible sous licence Creative Commons Attribution-NonCommercial 2.5, une licence de libre diffusion (mais non-libre) autorisant la distribution des dessins, à condition de citer l’auteur et de ne pas générer de profit de la distribution. Cette licence permet la réalisation de traductions non officielles par des internautes, en espagnol, en russe, en français, etc.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de