Cela a été confirmé: les mots de passe des utilisateurs XKCD ont été violés lors d'une violation de données

XKCD Webcomic Forum Data Breach

Ceux d’entre vous qui intéressent aux mathématiques, à la technologie et à la sécurité de l’information ont probablement entendu le nom de Randall Munroe. Il est le créateur du webcomic XKCD qui utilise de brillants dessins animés de bonhommes bâtons et une bonne dose d’humour pour discuter de ces sujets. En utilisant XKCD, Munroe a popularisé sa théorie de « correcthorsebatterystaple », selon laquelle une phrase secrète longue composée de quatre mots aléatoires est à la fois plus facile à mémoriser et plus sûre q une chaîne de lettres, de chiffres et de caractères spéciaux brouillés.

Vendredi, Troy Hunt, expert en cybersécurité et créateur du service alerte "ai moi-même été envoyé", a utilisé son énorme compte Twitter pour tenter de contacter Randall Munroe. Il essayait pas expliquer pourquoi la théorie du "correcthorsebatterystaple" pourrait ne pas fonctionner dans le monde réel. Il a fait il y a un moment . Hunt essayait de dire à Munroe que des informations appartenant aux fans de XKCD avaient été révélées.

Le forum de XKCD a été violé

Troy Hunt a initialement été contacté par un pirate informatique du nom Adam Davies qui lui a dit que le forum où les gens discutaient de tout ce qui avait trait à XKCD avait été violé il y a quelques mois. Finalement, Hunt a réussi à entrer en contact avec administrateur du forum qui a reconnu infraction et pris des mesures pour résoudre le problème.

Des notifications par courrier électronique ont été envoyées aux personnes concernées, le forum a été mis hors ligne et il restera inactif pendant que les personnes responsables de ce dernier tentent de comprendre ce qui est passé. Pendant ce temps, Troy Hunt a reçu les informations divulguées Adam Davies et les a transférées dans son service alerte de violation des données, ce qui signifie que vous pouvez entrer votre adresse électronique à adresse https://haveibeenpwned.com/ et voir si votre compte a été compromis.

Quelle était la taille de la brèche?

XKCD est l’un des Webcomics les plus populaires au monde, et les outils d’analyse suggèrent qu’il reçoit des millions de visites mensuelles. À la lumière de cela, la brèche sur les forums ne semble pas si terrible. Un peu moins de 562 000 comptes ont été affectés, ce qui, bien qu’il reste un nombre important, est loin d’être aussi énorme que les dizaines de millions d’enregistrements d’ autres sites Web et applications divulgués quotidiennement.

De plus, le forum XKCD est gratuit, ce qui signifie q il ne stocke aucune information financière.. Selon la déclaration en cours de publication sur le forum, les données qui ont été exposées incluent les adresses IP au moment de l’enregistrement, les noms d’utilisateur, les emails et les "mots de passe hachés".

Il est prudent de supposer que lorsque le forum sera de nouveau connecté, les mots de passe des comptes concernés seront réinitialisés. Les administrateurs ont toutefois averti à juste titre les utilisateurs que ils utilisaient leur mot de passe XKCD pour autres comptes, ils devaient le modifier urgence. Et avec raison.

Même le mot de passe le plus fort ne peut pas battre un algorithme de hachage faible

Nous sommes presque certains que certains entre vous utilisent le système "correcthorsebatterystaple" de Randall Munroe, tandis que autres, comme Troy Hunt, utilisent des générateurs de mots de passe. Quelle que soit votre position, chacun de vos comptes doit être sécurisé avec un mot de passe fort et unique. Malheureusement, même cela ne suffit pas parfois.

La notification de violation de données de XKCD indique que les pirates ont profité une vulnérabilité de phpBB, la plateforme sous-jacente du forum. Le fait qu’il existe un trou suggère que toutes les mises à jour de sécurité n’ont pas été installées. La fonction de hachage de mot de passe pointe également vers un logiciel obsolète.

après Have I Was Pwned, les mots de passe ont été hachés avec MD5 qui, comme nous avons mentionné il y a pas si longtemps, est un algorithme de hachage terriblement obsolète et peu sécurisé. En effet, ils ont également été salés, ce qui compliquera la récupération des informations identification, mais le fait que votre mot de passe XKCD soit protégé avec MD5 signifie q il doit être considéré comme compromis et ne doit plus jamais être utilisé.

September 4, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 4 + 9 ?