Tumblr : une fuite de plus de 65 millions d'identifiants

Tumblr : une fuite de plus de 65 millions d’identifiants

On prend les mêmes et on recommence

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

31/05/2016 3 minutes
16

Tumblr : une fuite de plus de 65 millions d'identifiants

Le 12 mai, Tumblr indiquait qu’un certain nombre d’utilisateurs étaient concernés par une fuite de mots de passe. L’éditeur semblait indiquer que la brèche n’était guère importante. Il s’avère que plus de 65 millions de personnes ont été touchées.

Non seulement l’histoire se répète, mais les ingrédients et intervenants sont pratiquement les mêmes. Seul le nom de la société concernée change : Tumblr. Racheté par Yahoo, l’éditeur avait publié un court message le 12 mai pour expliquer qu’une brèche avait permis le vol de mots de passe. Sans donner de chiffre, il laissait entendre qu’un petit nombre seulement d’utilisateurs avait été touché. D’ailleurs, de nouveaux mots de passe allaient leur être demandés.

Des mots de passe hachés et salés

Motherboard, qui s’est penché également sur cette fuite, a eu confirmation par le chercheur Troy Hunt – qui s’occupe parallèlement du site Have I Been Pwned – que la fuite touchait en fait 65 469 298 comptes, comprenant à la fois les adresses email et les mots de passe. D’après Peace, pirate qui possédait déjà les données des fuites de LinkedIn et MySpace, les mots de passe étaient hachés via SHA1 et salés.

À cause de ce salage (des octets aléatoires sont ajoutés dans les hashs), Peace estime que ces données sont essentiellement une liste d’adresses email. C’est d’ailleurs pourquoi il n’aurait réussi qu’à les revendre 150 dollars sur le site The Real Deal, où les données de LinkedIn et MySpace avaient été vendues pour quelques bitcoins.

LinkedIn, MySpace, Tumblr : de nombreux points communs

Le cas présente de nombreuses similitudes avec ces brèches. À chaque fois, il semble que des pirates aient exploité une ou plusieurs brèches dans la défense, voire des failles de sécurité, et qu’ils aient gardé ces informations dormantes pendant plusieurs années. Troy Hunt estime d’ailleurs dans un billet publié hier qu’en conséquence de l’âge probable des données de Tumblr, environ la moitié seulement des mots de passe seraient utiles.

Cependant, l’âge même de ces données peut se retourner contre les utilisateurs de différentes manières, particulièrement si les mots de passe n’ont pas été changés depuis. Même si aujourd’hui les pratiques de sécurité laissent globalement à désirer, elles étaient encore pires il y a quelques années. La question de la réutilisation des mots de passe pourrait d'ailleurs se poser : même si les membres ont bien changé leurs identifiants sur Tumblr depuis l'époque de la fuite, ceux-ci ont pu les conserver sur d'autres services qu'ils estiment à l'abri.

À noter que Tumblr n'a pas encore réagi à ces nouvelles informations.

16

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des mots de passe hachés et salés

LinkedIn, MySpace, Tumblr : de nombreux points communs

Commentaires (16)


Une fuite de plus, c’est tellement banale que c’en est affligeant…

Par contre, sympa le site “Have I Been Pwned” !








Gormador a écrit :



Une fuite de plus, c’est tellement banale que c’en est affligeant…

Par contre, sympa le site “Have I Been Pwned” !





+1 sur chaque ligne

+1 pour la dernière, tous mes logs sont cleans&nbsp;<img data-src=" />









Gormador a écrit :



Une fuite de plus, c’est tellement banale que c’en est affligeant…

Par contre, sympa le site “Have I Been Pwned” !





je viens de constater que mon email poubelle s’est fait pwned sur 3 sites et j’étais même pas au courant (dont Adobe accounts et Nexus Mods)

Merci ^^



On peut pas les blâmer, on ne peut pas penser à tout.

Et pour leur défense :&nbsp;



“les mots de passe étaient hachés via SHA1 et salés.“on a déjà vu pire. Perso dans ma boite, c’était en clair dans la base tout comme l’email.


Clairement. Mon adresse principale a été “pwned” sur deux sites, Nexus Mods et Patreon, mais dans les deux cas l’alerte avait été donnée et les mots de passe changés. Et, dans les deux cas, ils n’étaient pas stockés en claire.

Malheureusement, ce n’est pas encore une pratique généralisée, et généralement pour la pire des raisons (quand on en connaît les conséquences) : la commodité de l’utilisateur.








barok a écrit :



&nbsp;Perso dans ma boite, c’était en clair dans la base tout comme l’email.





Dans ma boite aussi c’était en clair. En même temps quand le contrôle de connexion se fait avec uniquement “WHERE password = $_GET[‘password’]”…véridique (même pas de vérification sur le login :‘().



Sympa le site, Je viens d’apprendre que mon mail principal avait été “pwned” sur Wildstar a l’époque. Problème venant d’eux et ils étaient incapable de te rendre ce qui avait été volé sur le compte ^^


Bah, je change tellement souvent nickname sur tumblr (qui n’est malheureusement plus ce qu’il était depuis qu’il a été acheté par Yahoo -_-), que ce n’est pas critique. Mais mon compte principal contient quand même plus de 10 000 posts depuis 2009 et des followers sympas. Ce serait con de les perdre. Allez un petit tour chez mon ami&nbsphttp://strongpasswordgenerator.com/ et c’est reparti.



Puis bon haché/salé, c’est pas très grave, on a vu pire.



&nbsp;





barok a écrit :



On peut pas les blâmer, on ne peut pas penser à tout.

Et pour leur défense :&nbsp;



“les mots de passe étaient hachés via SHA1 et salés.“on a déjà vu pire. Perso dans ma boite, c’était en clair dans la base tout comme l’email.





La vache, en clair ! Même pour des clients/sites non critiques je fais le minimum SHA1/salage quand même dediou ! Ça prend deux lignes de code sérieux…



si tu te fait pas choper ta bdd en 2016 t’a raté ta vie <img data-src=" />



bon faut pas non plus que ça en devienne une habitude là….


Final Fantasy Shrine ? jamais mis les pieds là bas.. il est fiable votre machin ?


Nexusmods a eu un souci il y a quelques mois et a forcé le changemetn de mot de passe de tous les comptes.


SHA1 même salé c’est faible de nos jours.



&nbsp;


Nextinpact devrait faire un sondage sur les mots passe.&nbsp;&nbsp;

Je parie que l’écrasante majorité des gens mettent le même mot de passe partout ou presque.&nbsp;&nbsp;

Et même un changement de temps en temps est rare (c’est insupportable de devoir retenir des changement de mot passe)

Les services non open source qui enregistrent et génèrent des mot de passes inretenable ne sont pas la meilleure solution aussi.








jul a écrit :



La vache, en clair ! Même pour des clients/sites non critiques je fais le minimum SHA1/salage quand même dediou ! Ça prend deux lignes de code sérieux…





Renseignez-vous sur 000wehost.com (une des plus grosses fuites de haveibeenpwned, dont deux de mes adresses font partie, avec des mdp bidons au moins), vous ne serez pas déçus.









jimmy_36 a écrit :



SHA1 même salé c’est faible de nos jours.



&nbsp;





Oui mais je ne bosse pas pour Tumblr &nbsp;<img data-src=" />