Piratage de Freelance-info

Bonjour à tous,

Nous vous remercions pour votre alerte, notre équipe IT est en train de travailler sur le sujet.
Les mots de passe étaient cryptés mais par sécurité, nous vous recommandons de les modifier.
Je reviendrai vers vous pour vous tenir informés le plus rapidement possible.

Bien à vous

Sophie

Bonsoir,

Avez-vous davantage de précisions sur le type de données dérobées ?

Merci.

Bonsoir,

Inutile de vous écrire que nous sommes nombreux ici à être extrêmement mécontents que beaucoup de données sensibles soient désormais dans la nature, faute de sécurisation de la base de données.

Car en réalité, ce n'est pas toute la société éditrice qui a été piratée. Il semble qu'il s'agisse des bases de données qui étaient utilisées... "en clair".

La gravité de la situation est liée d'une part au niveau de détail des informations diffusées, d'autre part au fait que pour beaucoup de freelances, données pro = données personelles (en particulier pour les micro-entrepreneurs et entrepreneurs individuels).



Pour répondre à vos questions, la "fuite" de nos données concerne nos informations ci-dessous telles qu'enregistrées sur la plateforme aux alentours de décembre 2020 :

• nom,
• prénom(s),
• adresse postale (complète),
• login,
• adresse courriel,
• téléphone,
• données parsées de nos CV (âge, études, missions...),
• hash des mots de passe (algo non précisé mais MD5 / SHA1 probable).

Pour Sophie (modérateur) : on ne dit pas "crypté" mais "chiffré".

Et en l'occurrence, on ne devrait en réalité pas parler de "fuite" car nos précieuses données étaient tout simplement non sécurisées. La conséquence est que des individus dont la bienveillance reste à prouver, se partagent activement depuis fin 2020 nos données privées + des détails des missions passées avec parfois l'identité du client final.

Même si cela ne changera plus rien, nombreux ici vont songer à supprimer leur compte définitivement, étant choqués par les implications (surtout les habilités). Car au total, ce sont près de 200 000 professionnels de l'informatique qui sont concernés et cela aurait facilement pu être évité.

C'est scandaleux, une véritable faute professionnelle dans le contexte particulièrement sensible de ces dernières années.
En conclusion, je serais tenté de vous mettre durablement en garde contre de futures tentatives de hameçonnage.
Méfiez-vous de toute "nouvelle ESN" qui en saura beaucoup sur vous mais que vous ne connaitriez pourtant pas.
Pour ceux qui n'effaceront pas leur compte, considérez les prises de contact directes comme étant suspectes.

Pour rappel, vous n'êtes pas ici dans un hôpital, mais sur un site de recrutement d'experts en informatique...

Peut-on savoir quel algorithme était utilisé pour hasher les mots de passe ?

les données ont été dérobées quand ? à quelle date S'il vout plait, est ce que freelance info est impacté, pour information je pense créer un email dédié à freelance info

Membre-186697 a écrit : Bonsoir,

Avez-vous davantage de précisions sur le type de données dérobées ?

Merci.

Bonsoir,

Ce sont les données présentes sur la page récapitulative de votre profil. faites un tour sur l'article d'origine, dont mdeverdelhan nous a indiqué le lien. Basiquement, les champs que vous voyez en vous connectant à votre CV :
Titre du poste recherché, nombre d'année d'expérience, niveau d'études, disponibilité, adresse, téléphone...

Et oui, moi aussi ça m'agace quelque peu que des données aussi précises que mon adresse physique exacte et mon numéro de téléphone se baladent dans la nature.

Moi qui venait juste de m'inscrire... 😕😡C'est bien la peine que tous ici prenions pleins de précautions dans la vie avec des mots de passe fort, unique, des multifacteurs d'authentification etc, vous font confiance en mettant des données ultra sensibles qui les concerne et que derrière cela ce genre d'incidents arrivent... En effet aucun grand groupe n'est à l'abri mais avec autant de données sensibles ce n'est simplement pas possible de faire preuve de laxisme sur la sécurité.
Une pensée à tous et celles qui sont impactés et très en colère.

Qu'en est-il des utilisateurs qui se log avec leur compte Linkedin, comme moi ? Est-ce qu'il y a un risque que cela impact mon compte Linkedin aussi ?

C'est tout simplement une honte ! Je vous invite à faire comme moi vous désinscrire et effacer votre compte, en espérant que ces données ne soient pas exploitées.

Javamine a écrit : Qu'en est-il des utilisateurs qui se log avec leur compte Linkedin, comme moi ? Est-ce qu'il y a un risque que cela impact mon compte Linkedin aussi ?

Je ne suis pas sur Linkedin mais en général vous devriez voir dans vos paramètres Linkedin les applis autorisé à se connecter avec votre compte.

Premier lien trouvé sur Google : https://www.cnet.com/how-to/how-to-remove-app-connections-on-linkedin/


La fuite de donnée semble toucher précisément le site Freelance-info.fr selon le CM de Turnover-IT:

Bonjour,

J'ai reçu un e-mail de la part de Freelance-Info ce matin, par sécurité je n'ai pas cliqué sur le lien qui me demandait d'aller modifier mon mot de passe, je suis venu vérifier directement sur le forum, je ne pense pas que le piratage avait pour objectif d'avoir nos mots de passes car souvent ils sont chiffrés ou minimum hashés, par contre nos informations personnelles et professionnelles étaient sûrement la cible et ces informations étaient en clair dans la base de données, pourquoi ces informations n'ont pas été protégées ?

Bonjour,

Il faut lancer une action de groupe en justice, ce n'est pas normale que nos données ne soient pas securisé.

Cordialement

allill79 a écrit : Bonjour,

Il faut lancer une action de groupe en justice, ce n'est pas normale que nos données ne soient pas securisé.

Cordialement

Heu.... un peu extrême comme réaction..😕.

On ne parle pas de données médicales ou de moyen de paiement.
Les données en question peuvent etre accessibles pour la ssii qui paie sur turnover-IT.
La fuite de données est plus que navrante mais ça n'exclue pas de prendre du recul afin de voir de quel type de données on parle.

Indep2013 a écrit :

allill79 a écrit : Bonjour,

Il faut lancer une action de groupe en justice, ce n'est pas normale que nos données ne soient pas securisé.

Cordialement

Heu.... un peu extrême comme réaction..😕.

On ne parle pas de données médicales ou de moyen de paiement.
Les données en question peuvent etre accessibles pour la ssii qui paie sur turnover-IT.
La fuite de données est plus que navrante mais ça n'exclue pas de prendre du recul afin de voir de quel type de données on parle.

Je ne pense pas que ces sociétés ont accès au hash de mon mot de passe, ni qu'elles essaient de les casser afin d'essayer de me piquer ma boite mail ou mon Paypal (en éspérant que le mot de passe soit le même). Et je ne pense pas non plus qu'elles aient accès à l'ensemble de l'historique de mon activités sur le site, notamment vis à vis des autres SSII...

Reste qu'il existe des disposition légale concernant le recueil et traitement de données à carractères personnel, des exigences de déclaration en cas de fuite de données, et des sanctions financières possibles pour manquement à la protection des données.

sisgl a écrit : je ne pense pas que le piratage avait pour objectif d'avoir nos mots de passes car souvent ils sont chiffrés ou minimum hashés

Les mots de passes du site sont hashé via du BCrypt, algo assez resistant. Néanmoins des acteurs spécialisés récupèrent tout leak de données afin de tenter de casser les mot de passe et retrouver les valeurs en clairs (ce qui est possible si le mot de passe est trop simple). Cela alimentent leur bases de couple login/password valides, qui leur permet de tenter de se connecter ensuite à d'autres sites avec ces credentials.

La personne qui vend le sdonnées n'a pas d'objectif autre que pécunier. Chaque acteur/acheteur viens y chercher ce qu'il veut : credentials, mails, n° de téléphone, etc.

Bonjour,

Non, envisager une "class action" n'est pas du tout excessif.

Nos données étaient en quelque sorte stockées pour être "monétisées" auprès d'entreprises ensuite.
La société responsable de l'intégrité de nos données gagnait évidemment de l'argent avec nos profils.

Il fallait sécuriser ces informations, d'autant qu'ici ce sont des données groupées et réellement très sensibles.
Nom, prénom, âge, niveau d'étude, tél, mail, adresse postale, missions passées, expertises, anciens clients, etc.

Ce manque de rigueur nous expose à des tentatives de hameçonnage très "fines" à l'avenir.

Donc non, pas excessif.

adenoyelle a écrit : Peut-on savoir quel algorithme était utilisé pour hasher les mots de passe ?

Sûrement du md5 ...

Freelance91 a écrit :

adenoyelle a écrit : Peut-on savoir quel algorithme était utilisé pour hasher les mots de passe ?

Sûrement du md5 ...

-Berthier- a écrit : Les mots de passes du site sont hashé via du BCrypt

Pour rassurer les utilisateurs, pouvez-vous donner les mesures mises en place (ou qui seront mises en place) :
- Outils utilisés pour éviter les injections SQL ou failles dans le code ?
- Types de base utilisées (managées dans le cloud ou sécurisées par vous et comment) ?
- Chiffrements et méthodes de hashing utilisé ou envisagé : SHA, MD5, chiffrement AES, chiffrement homomorphe pour les données les plus sensibles, ...
- Mode de gestion des clés (HSM?)
- VPN
- Double authentification en option
- Rotation des clés de chiffrements
- Monitoring des logs / sondes
- Firewall
- Audit externe
- ...

SeoExpert a écrit : ...ce sont des données groupées et réellement très sensibles.
Nom, prénom, âge, niveau d'étude, tél, mail, adresse postale, missions passées, expertises, anciens clients, etc......

C'est le contenu de ton CV que tu mets disposition sur un site et des clients peuvent ou non l'acheter.
Tu exposes tes données potentiellement à n'importe qui, qui accepte de payer.
Donc non, ce ne sont pas des données ultra mega sensible.

Des données trés sensibles sont des données médicales, moyen paiement, ...
Si une société ou un oragnisme a ce type de données en sa possession, elle ne les vend pas et ne les partage pas avec le premier qui passe et qui paie. Elle ne les commercialise pas.

Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un site web marchand ou de données médicales d'un hopital.

Seo, si dans le cas présent il s'agit de données "réellement très sensibles" alors comment classes-tu des données médicales, données de CB, données stratégique d'une société (ex : prévision d'OPA), plan d'un missile,....?

datamining a écrit : Pour rasurrer les utilisateurs, pouvez-vous donner les mesures mises en place (ou qui seront mises en place) :
- Outils utilisés pour éviter les injections SQL ou failles dans le code ?
- Types de base utilisées (managées dans le cloud ou sécurisées par vous et comment) ?
- Chiffrements et méthodes de hashing utilisé ou envisagé : SHA, MD5, chiffrement AES, chiffrement homomorphe pour les données les plus sensibles, ...
- Mode de gestion des clés (HSM?)
- VPN
- Double authentification en option
- Rotation des clés de chiffrements
- Monitoring des logs / sondes
- Firewall
- Audit externe
- ...

Les mesures de sécurité mise en oeuvre n'ont pas....euh....vraiment vocation à être diffusées de manière publique.
A la limite on peut parler de maniere TRES macro mais on ne fournit pas les résulats d'audit.

Indep2013 a écrit :

SeoExpert a écrit : ...ce sont des données groupées et réellement très sensibles.
Nom, prénom, âge, niveau d'étude, tél, mail, adresse postale, missions passées, expertises, anciens clients, etc......

C'est le contenu de ton CV que tu mets disposition sur un site et des clients peuvent ou non l'acheter.
Tu exposes tes données potentiellement à n'importe qui, qui accepte de payer.
Donc non, ce ne sont pas des données ultra mega sensible.

Des données trés sensibles sont des données médicales, moyen paiement, ...
Si une société ou un oragnisme a ce type de données en sa possession, elle ne les vend pas et ne les partage pas avec le premier qui passe et qui paie. Elle ne les commercialise pas.

Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un site web marchand ou de données médicales d'un hopital.

Seo, si dans le cas présent il s'agit de données "réellement très sensibles" alors comment classes-tu des données médicales, données de CB, données stratégique d'une société (ex : prévision d'OPA), plan d'un missile,....?

Oui et des données de santé perso ne sont rien face au code de lancement nucléaire. Bon ok on peut continuer comme ça longtemps...

Il ne me semble pas que tu postes publiquement les lettre de motivations envoyés aux entreprises? Car là elles sont dans la base de donnée qui a fuité. Quand je vois des annonces qui marquent nécéssiter une habilitation confidentielle défense, je suppose que tu n'affiche pas publiquement que tu as déjà eu une telle habilitation. Or là il est probablement facile de faire le le lien entre des annonces et des candidats.

Bref, non tout n'es pas publique. Les entreprises clientes de Turnover-it/Freelance-info ne récupère pas une BDD complète du site web.

Indep2013 a écrit : Les mesures de sécurité mise en oeuvre n'ont pas....euh....vraiment vocation à être diffusées de manière publique.
A la limite on peut parler de maniere TRES macro mais on ne fournit pas les résulats d'audit.

C'est la moindre des choses que de partager publiquement comment cette base à fuité (injection SQL, backup de la base accessible, etc) et des contre mesures mises en place afin que cela n'arrive plus.

Indep2013 a écrit : Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un site web marchand

Oui tu as raison, une CB un coup de téléphone à sa banque et on en change.
Relativement plus compliqué de changer de nom, prénom et date de naissance par exemple.

-Berthier- a écrit : Il ne me semble pas que tu postes publiquement les lettre de motivations envoyés aux entreprises?

Non, mais en les mettant sur turnover-IT, tu les mets a disposition de n'importe qui qui paie.

-Berthier- a écrit : Quand je vois des annonces qui marquent nécéssiter une habilitation confidentielle défense, je suppose que tu n'affiche pas publiquement que tu as déjà eu une telle habilitation.

Je ne connais pas les us et coutumes concernant le fait d'afficher ou non sur son CV son niveau d'habilitation, en revanche si la personne l'affiche c'est que l'information n'est pas confidentiel car comme je le répete n'importe qui qui paie peut avoir l'information.

Il me semble que tu peux toujours essayer d'acheter les données médicales à un hopital ou les numéro de CB à Amazon, ça va être difficile d'obtenir quelque chose

-Berthier- a écrit : C'est la moindre des choses que de partager publiquement comment cette base à fuité (injection SQL, backup de la base accessible, etc) et des contre mesures mises en place afin que cela n'arrive plus.

Oui c'est normal d'expliquer sans trop rentrer dans les détails comme est arrivée la fuite et quelles sont les mesures mises en oeuvre sans trop rentrer dans les détails.

Pour information, les rapports d'audits de sécurité, de tests de pénétrations, les dossiers de sécurité (qui contiennent les mesure de sécurité) d'un système, sont des dossiers confidentiels. C'est donc logique de ne pas en diffuser le contenu.

Acant a écrit :

Indep2013 a écrit : Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un site web marchand

Oui tu as raison, une CB un coup de téléphone à sa banque et on en change.
Relativement plus compliqué de changer de nom, prénom et date de naissance par exemple.

Hahahaa, si on connait ton nom et prénom, ça te gêne tellement que tu vas vouloir en changer??
Avant que tu ais changé de CB, le n° de la CB peut avoir servit à commander des jantes livrées en roumanie 😛

Indep2013 a écrit :

-Berthier- a écrit : C'est la moindre des choses que de partager publiquement comment cette base à fuité (injection SQL, backup de la base accessible, etc) et des contre mesures mises en place afin que cela n'arrive plus.

Oui c'est normal d'expliquer sans trop rentrer dans les détails comme est arrivée la fuite et quelles sont les mesures mises en oeuvre sans trop rentrer dans les détails.

Pour information, les rapports d'audits de sécurité, de tests de pénétrations, les dossiers de sécurité (qui contiennent les mesure de sécurité) d'un système, sont des dossiers confidentiels. C'est donc logique de ne pas en diffuser le contenu.

Je pilote une cinquantaine d'audits/pentest par an, et je suis moi même un ancien pentester donc je connais un peu le sujet.

Donc je maintient : si une boite à une vulnérabilité exploitée par un attaquant c'est la moindre des choses de fournir le détail de l'attaque, des causes qui l'ont permis (la vulnérabilité, le manque de contrôle en amont, etc) et les contre mesures désormais en place. Il n'y a que comme ça que la boite peut éventuellement regagner ma confiance. Je ne sais pas où vous placer le curseur de "trop rentrer dans les détails" mais la sécurité ne peut se reposer sur la méconaissance des mécanismes de sécurité en place.

La "Security through obscurity" on en est revenu depuis longtemps. Le full disclosure s'est imposé est montre son efficacité. Alors oui quand on prend pas la sécurité au sérieux on évite de publier des rappots d'audits dont on sait d'avance qu'on ne corigera rien. Mais quand on la prend au séireux on peut se le permettre. Par exemple l'application de messagerie Olvid a mis en ligne leur dernier rapport d'audit.

-Berthier- a écrit : ... Je ne sais pas où vous placer le curseur de "trop rentrer dans les détails" mais la sécurité ne peut se reposer sur la méconaissance des mécanismes de sécurité en place....

Je n'ai jamais dit qu'il fallait baser la sécurité sur la méconnaissance des mécanismes de sécurité (un extrême de la balance) mais a contrario il ne faut pas non plus publier l'intégralité de toutes les informations liées à la sécurité (autre extrême de la balance). Je n'ai jamais vu une société mettre à disposition du public les résultats d'audits de sécurité, les dossiers de sécurité du SI et ce n'est pas prés d'arriver.

Bonjour,

Le suivi n'a pas l´air génial pour l'instant.

J'ai suivi la procédure pour changer de mot de passe : cela a bugué.

Je suis passé par la procédure "mot de passe oublié", j'attend des mails depuis hier 12h qui ne sont ni dans ma boîte, ni dans mes spams.

Bref, très moyen comme gestion de crise.

Le site doit se reprendre rapidement.

Sur le piratage lui même : Les données sont pour la plupart déjà disponibles par croisement sur plusieurs plateformes. Ce qui est plus ennuyeux n'est le hash du mot de passe si ce même mot de passe est utilisé ailleurs. Pour le fishing, il faut de toute façon être prudent avant ou après ce piratage.

Cordialement,

- HMG -
qui aimerait récupérer son compte un jour.
hmg_71@yahoo.fr

Bonjour à tous,

Nous sommes profondément désolés pour ce désagrément et nous comprenons votre mécontentement.
tHier, nous avons contacté par email tous nos utilisateurs pour les informer de la fuite de données que notre site a subi.

Quand les données ont-elles été dérobées ?
D’après nos informations actuelles, les données auraient été dérobées le 18 décembre.

Quelle est la nature et le volume des données personnelles compromises ?
Il s’agit d’une partie de la base de données de Freelance-info.
Cette partie de la base comprend les personnes inscrites sur notre plateforme Freelance-info. Les données dérobées ont été mentionnées par email à chacun de nos utilisateurs, selon les différents cas :

• Nom et Prénom,
• Login et hash du mot de passe
• Adresse email
• Les données extraites de votre CV (parsing), pour les personnes ayant déposé un CV en base depuis moins de 12 mois ou dont une MAJ date de moins de 1 an.

Vos accès aux comptes LinkedIn ou Google ne sont pas mis en cause par l’authentification simplifiée.
190 000 utilisateurs ont été concernés, dont 43.000 CV environ.

Est-ce que des mots de passe ont été dérobés ?
C’est le « hash » des mots de passe qui a été dérobé, donc la version « chiffrée » du mot de passe. Nous ne pouvons pas donner plus d’indiction sur l’algorithme de « hash » pour des raisons évidentes de confidentialité. Celui-ci a été changé. Nous vous invitons donc à renforcer la sécurité de votre compte en modifiant votre mot de passe.

Quelles mesures sont prises pour protéger le système informatique de Freelance-info ?
Des mesures correctives ont été mises en place pour empêcher la reproduction d’une attaque selon les mêmes procédures (modification des accès serveurs et bases de données).
Nous avons saisi la Commission nationale de l’informatique et les libertés (CNIL), l’ANSSI, ainsi que la justice (dépôt de plainte en cours).

[color=#333333]Je[color=#333333] suis titulaire d’un compte Freelance-info. Comment puis-je supprimer mon compte ?
[color=#333333]Un accès dédié à la suppression est disponible dans votre compte. Une fois l’action entreprise, toutes vos données sont immédiatement effacées. Hélas, rien n’est possible pour les données ayant fuité.

Bien cordialement

Sophie

Olivier_M a écrit :

Membre-186697 a écrit : Bonsoir,

Avez-vous davantage de précisions sur le type de données dérobées ?

Merci.

Bonsoir,

Ce sont les données présentes sur la page récapitulative de votre profil. faites un tour sur l'article d'origine, dont mdeverdelhan nous a indiqué le lien. Basiquement, les champs que vous voyez en vous connectant à votre CV :
Titre du poste recherché, nombre d'année d'expérience, niveau d'études, disponibilité, adresse, téléphone...

Et oui, moi aussi ça m'agace quelque peu que des données aussi précises que mon adresse physique exacte et mon numéro de téléphone se baladent dans la nature.

Bof pour ma part je ne considere pas qu'il y a un gros probleme.

Dans l'absolu toutes ces infos sont deja sur mon linkedin +/- hormis pour le lien avec ma boite... je pense qu'il faudra surtout etre encore plus vigilant a tout mouvement de fonds sur nos comptes entreprise.

C'est "alarmant, les données suivantes de chacuns ont été piratées !!!" 😱😢😢😢😢

• nom,
• prénom(s),
• adresse postale (complète),
• login,
• adresse courriel,
• téléphone,
• données parsées de nos CV (âge, études, missions...),
• hash des mots de passe (algo non précisé mais MD5 / SHA1 probable).

pour info, Free, Orange, Canal+, Netflix, Linkedin, AppleCount et toutes les plateformes de CV ont déjà ces données élémentaires, mes données et surement vos données.... Ah, Facebook aussi... Twitter, Snapchat, Insta .... pis aussi, LAPoste, Carrefour Market, Marrionaud, Basic-Fit.... et Auchan ont aussi mes données.... tous les services administratifs, sociales, mairies, impôts ont aussi ces données.

Hormis le mot de passe à rechanger en 10 secondes, je vois pas ce que ça change .... Franchement, je lis les réact. alarmistes, on a l'impression de s'être fait pirater des comptes bancaires ...

Mon CV a dû être revendu sur une autre plateforme de recrutement en UK et tant mieux, je me ferai sans doute moins ch*ier à recréer un compte chez eux.

Sinon, FREELANCE-INFO est quand même un super service de mise en relation pro. Merci.