Comptes MySpace piratés...

Exclu : Plus de 50 000 comptes de membres MySpace piratés et diffusés sur Internet.

Voilà qui est plutôt embêtant pour le site communautaire MySpace. Un internaute vient de diffuser une base de données contenant 56 000 comptes appartenant à des utilisateurs de MySpace. Mel et mot de passe qui permettent ainsi d'usurper les identités et les espaces mis en place sur MySpace. Une liste, que nous avons reçu, qui est d'autant plus dramatique que la plupart du temps, les membres utilisent le même mot de passe pour leurs comptes mel.

Nous vous révélions, la semaine dernière, comment nous avions découvert une méthode pour modifier les mots de passe de l'ensemble membres de DailyMotion.(A.S.)
source Zataz

pas cool

Les mots de passe ne sont pas codés sur myspace ?
Ca m'étonne. C'est totalement interdit de garder les mots de passes (non cryptés ou non hachés) dans une base de donnée (en tout cas en France)...ça sent l'intox ça

La plupart des mots de pass sont hâchés en md5 (par exemple pour phpbb c'est comme ça, ou pour ipb (version 1...car dans la version 2 de ipb il ya ensuite un hachage (toujours en md5) du mot de passe déjà haché ), et c'est comme ça dans la plupart des cas).

un mot de passe est haché (cad qu'on ne peut le retrouver une fois que c'est fait...au pire un autre mot aura le même "identifiant" une fois haché), et ne sont pas cryptés, car qui dit cryptage dit décryptage, cad qu'on les crypte quand on a besoin de les décrypter (ex: banques).


Bref ça m'étonnerait beaucoup que les mots de passes ne soient pas hachés dans la base de donnée de myspace...

Bon comme je l'ai dit il est possible que le "pirate" ait réussi à récupérer un mot de passe (autre que celui qu'a entré l'utilisateur) et qui marche aussi (ouais c'est un des problèmes du hachage entre autres), mais comme la plupart des sites utilisent ce procédé ça reste embêtant

bon, et t'as pas un lien vers la fameuse liste pour voir si je suis pas dedans ?

A ma connaissance aucune loi n'oblige a hasher les mots de passe.



Il vaut mieux pas, c'est ce qu'on appelle une collision, et ca signifie que le hashage a été craqué.
C'est d'ailleur le cas du md5, c'est pour cela que l'on ne doit plus l'utiliser.
Probablement que les devellopeurs de Myspace ne le savent pas, en meme temps en regardant leur site on se demande si il savent programmer...

Oui d'accord avec toi, mais cela veut dire que le pirate n'a pas forcément le code de la dite personne (et donc il ne pourra pirater les adresses mail et cie... )
En revanche c'est vrai que ça c'est un des problèmes du md5, un mot de passe de 4 caractères haché en md5 peut se faire cracker facilement à ce qu'il parait (mais je ne m'y connais pas ).

M'enfin d'accord avec toi pour ta dernière phrase

Il peut tout aussi bien s'agir de mots de passe saisis par un keylogger ou par un système de phishing viral, comme celui qui a fait des ravages début décembre grâce à une faille de Quicktime exploitée par de faux écrans de login.

En meme temps un mot de passe de 4 caractere se craque facilement par brute force quelque soit le cryptage.

Avec john the ripper tu peut forcer les mot de passe triviaux en MD5 en moins de une seconde si tu passe par un serveur de "table inverse".

Apres une courte recherche j'ai trouvé un site permettant de craqué un MD5 en se servant d'une base de donnée de 500 millions de hash.

Certes mais tu oublies la latence de Myspace qui ne facilite pas les attaque par brute force. John marche très bien en local, en distant ça le fait moins, et c'est repérable. De plus, les mots de passe de Myspace ne sont pas si mauvais que ça. C'est Bruce Schneier lui-même qui le dit : http://www.wired.com/news/colu(...)re_3.

Au fait, la fameuse « exclu » de Zataz sent un peu le réchauffé...

Si tu arrive a acceder a la base de donnée, faire tourner john the ripper n'est plus un probleme.
De plus je ne cherche pas a confirmer l'info, juste a dire que c'est eventuellement possible.
De tout de facon myspace fait partit des sites dont je n'ai rien a taper. Alors qu'il ai ete piraté ou non.... rien a f*****

edit: interressant l'article

Hummm une chance que j'ai pas le même mot de passe . Bon supprimer mon compte Myspace, toute façon leur dessign et programmation font peur. Après tout, je suis capable de faire un site alors pas besoin de sa .

Ps: C'est dont bien compliquer pour rien faire une cancellation de compte sur ce site.

Relativisons. Bien sûr, leur HTML n'est vraiment pas exemplaire et il ne s'améliore que très lentement, c'est vraiment un site pour blaireaux mis à part Myspace Music qui a une vraie utilité, Rupert Murdoch est un pourri... tout ça pour dire que je ne cherche pas à défendre Myspace mais je respecte quand même des types qui ont mis en place une infrastructure capable de tenir la charge de millions d'utilisateurs en même temps. Ce n'est pas à la portée de tout le monde, n'est-ce pas Orkut.

Et puis faut pas avoir trop peur des attaques sur Myspace, spécifiquement. Les botnets de zombies sont fréquents par ailleurs, comme les keyloggers, les spywares et le malware en général. Le phishing est toujours visible si on fait attention à la barre d'URL. Je ne crois pas que la base de comptes se soit fait craquer, sinon ce ne sont pas quelques pauvres milliers de mots de passe qu'on verrait passer ici et là sur les cent et quelques millions de comptes actuels.

Quant à la résiliation... je crois que ce n'est pas le seul site à rendre les choses extrêmement difficiles...

Oui mais bon, reste que certaine page assé ordinaire sont bourré de faute, ne respecte pas le W3C.

Le dessign sa fait assé peur lol .

Bon héberger des milliers de monde et tout ... Bon d'autre site d'espace font sa aussi.

Sois dit en passent, je me suis pas désabonné pour le risque de piratage, mais seulement pour une inutilité pour moi.

J'adore le munster qui dit au camenbert "tu pues"...