5139 sujets

Le Bar du forum

OVH "piraté", allez on change les mots de passe

Je me fais le relai d'une petite info rigolote (puisqu'elle ne tombe pas un vendredi soir, autrement ça aurait été bien moins rigolo) :

http://www.pcinpact.com/news/81342-ovh-pirate-clients-europeens-invites-a-changer-leur-mot-passe.htm

Extrait de la news :

OVH a écrit :

Ce dernier est chiffré et utilise un chiffrement de type « SHA512 », ce qui devrait tout de même limiter le cassage par « force brute ».


Extrait d'un commentaire comique :

Moron a écrit :

Et malgré tout, je serais curieux de savoir combien de sociétés stockent les mots de passe avec un si fort chiffrement.


SHA-512 sans sel, ajouté au fait qu'il est super simple de connaitre le format des mots de passe généré par défaut par OVH = ça ou stocker les mots de passe en clair c'est (pratiquement) pareil.

Changez vos mots de passe et rapido.
Modifié par jb_gfx (22 Jul 2013 - 21:17)
Ça m'ébahi toujours ces nouvelles... Qui travaille là et fait du travail d'aussi mauvaise qualité. Se faire hacké, ça arrive, mais ne pas avoir de mesure de protection des mots de passe moderne ça me dépasse.
Modifié par SBoudrias (23 Jul 2013 - 06:20)
ah ca y est...il faut pas utiliser l'accès normal (qui est le module télécom) et retourner sur le manager v5....
Administrateur
jb_gfx > merci pour le sujet, nécessaire en effet Smiley smile

Oles a écrit :
Le chiffrement du mot de passe est "salé" et basé
sur SHA512, afin d'éviter le bruteforce.

De quoi parlez-vous quand vous dites pas salé ? La BDD des clients ? Les mdp l'étaient d'après Oles (PDG d'OVH pour ceux qui connaîtraient pas).

SBoudrias a écrit :
Ça m'ébahi toujours ces nouvelles... Qui travaille là et fait du travail d'aussi mauvaise qualité. Se faire hacké, ça arrive, mais ne pas avoir de mesure de protection des mots de passe moderne ça me dépasse.

Le pirate a eu un minimum d'efforts à faire quand même. Je sais pas si c'est suffisant pour cette boîte mais c'est en tout cas bien plus que pour toute autre boîte (mais tout le monde n'a pas des dizaines de milliers de serveurs et de clients à gérer, les risques sont différents).

jp.bond a écrit :
ah ca y est...il faut pas utiliser l'accès normal (qui est le module télécom) et retourner sur le manager v5....

Y a 3 managers et 1 API je crois.. Bonne pioche Smiley cligne
Felipe a écrit :

De quoi parlez-vous quand vous dites pas salé ? La BDD des clients ? Les mdp l'étaient d'après Oles (PDG d'OVH pour ceux qui connaîtraient pas).


Exact, c'était pas repris dans la news mais c'est dans le message d'OVH :

http://travaux.ovh.net/?do=details&id=8998

Par contre : "Le chiffrement du mot de passe est "salé" et basé
sur SHA512, afin d'éviter le bruteforce"

C'est complètement faux. Le sel n’empêche pas les attaques par bruteforce mais (à condition qu'il soit bien utilisé) les attaques par rainbow tables.
Modifié par jb_gfx (23 Jul 2013 - 14:18)
Salut à tous Smiley smile

Merci d'avoir relayé l'info ici.
D'autant plus que de notre côté, on a bien reçu les mails d'OVH invitant à mettre à jour les mots de passe, mais pas pour tous les comptes que nous gérons pour les clients… bizarre.

En tout cas, un bon morceau de la soirée passée sur cette saleté de manager Smiley rolleyes
Ça va que c'était lundi soir…
Bonjoir à tous,

Jamais je n'aurais pensé qu'ils puissent se faire pirater...

D'autant que sur leurs forums certains ont vraiment la grosse tête...

Et quand on lit le mot d'octave sur leur pseudo parano, je me demande plutôt si ils n'ont pas simplement manqués de vigilence car un tel accès (noms, adresses, nic, mdp, etc...) ne devrait se compter que sur les doigts d'une main concernant les personnes autorisées à y accéder non? Car là on parle bien de données confidentielles.

Négligence ou faute?
flyeric a écrit :
Négligence ou faute?


C'est quoi la différence quand tu es en charge des données personnelles de tes clients ?
Sujet clos
Aller à