Forum
Piratage de Freelance-info
mdeverdelhan
Nombre de posts : 8
Nombre de likes : 7
Inscrit :
4 octobre 2017
Bonjour à tous,
Apparemment la SAS AGSI (éditrice des sites turnover-it et freelance-info) a été piratée récemment. Damien Bancal (Zataz) vient de découvrir que les données (nom, prénom, email, mot de passe hashé, etc.) des utilisateurs étaient en vente sur via un canal spécialisé : https://www.zataz.com/fuite-de-donnees-pour-turnover-it/
Comme je pense que nous somme tous concernés ici, auriez-vous plus de renseignements à ce sujet ?
Dans tous les cas j'invite tous les membres à changer leur mots de passe.
Bonne journée quand même. 🙂
Apparemment la SAS AGSI (éditrice des sites turnover-it et freelance-info) a été piratée récemment. Damien Bancal (Zataz) vient de découvrir que les données (nom, prénom, email, mot de passe hashé, etc.) des utilisateurs étaient en vente sur via un canal spécialisé : https://www.zataz.com/fuite-de-donnees-pour-turnover-it/
Comme je pense que nous somme tous concernés ici, auriez-vous plus de renseignements à ce sujet ?
Dans tous les cas j'invite tous les membres à changer leur mots de passe.
Bonne journée quand même. 🙂
- Contacter en MP
Sosodu28
Nombre de posts : 44Nombre de likes : 12Inscrit : 4 juillet 2020Bonjour - HMG -,
Je suis désolée pour ce désagrément.
Suite à un trop grand nombre d’envois d’emails, vendredi soir, pour prévenir nos utilisateurs, notre serveur d’emailing a été bloqué momentanément, pour des raisons de sécurité.
Tout est rentré dans l'ordre ce matin, n'hésitez pas à me contacter par MP ou par email, si vous ne recevez toujours pas le mail de réinitialisation de votre mot de passe.
Bien cordialement,
Sophie - Contacter en MP
fullstack_obliged
Nombre de posts : 110Nombre de likes : 10Inscrit : 1 juin 2020Au passage j'en profite aussi pour dire que je ne sais pas ce qui se passe sur le net depuis quelques temps mais c'est vrai que les logs de mon tout petit site de photos de rien du tout est rempli d'attaques.
Appels get sur des urls contenant toutes sortes de regexp type wp-admin, admin, fichier .env etc.... C'est quand meme affolant... Pour un site sur lequel je ne vends rien, qui ne me sert que de blogging et photographie, et qui n'est meme pas encore bien connu je trouve ca vraiment ridicule... - Contacter en MP
Indep2013
Nombre de posts : 154Nombre de likes : 11Inscrit : 22 juin 2013Fullstack,
votre site est attaqué/scanné par des robots qui ne se préoccupent pas du contenu. Ils recherchent simplement des sites qui ont des failles. - Contacter en MP
Hellvtic
Nombre de posts : 14Nombre de likes : 5Inscrit : 8 mars 2010Nonnnnn Mon cv que j'ai envoyé à la moitier des ESN Parisienne et qui est en clair sur Linkedin a fuité ?
Ah ben je vais pas dormir de la nuit moi...
Bon faut arréter un peu la paranoia, toute ces infos les Gafa les connaissent déjà depuis bien longtemps, je les considère d'ailleurs comme publiques, elles doivent figurer dans nombre de banques de CV qui ont certainement été maintes fois vendues-voilées, c'est pas pour cela que je vais me passer de freelance-info et encore moins parler de scandales ou de class action (là on touche le ridicule). - Contacter en MP
SeoExpert
Nombre de posts : 7Nombre de likes : 5Inscrit : 22 mai 2019Bonsoir,
J'envisage d'effacer mon compte de façon définitive dans les mois à venir.
L'équipe de modération peut-elle dire si l'effacement d'un compte entraînera l'effacement des publications sur le forum ?
Merci d'avance ! - Contacter en MP
Droopyann
Nombre de posts : 3675Nombre de likes : 1828Inscrit : 21 mai 2018Bonjour,
Ce serait bizare d'effacer certaines publications et pas d'autres.
On ne comprendrait plus rien aux fils de discussion en question, non ?-- Yann EURL IS depuis 2019 - Contacter en MP
Sosodu28
Nombre de posts : 44Nombre de likes : 12Inscrit : 4 juillet 2020Bonjour à tous,
lorsque vous supprimez votre compte de la plateforme Freelance-info, les posts publiés restent en ligne.
Ce n'est plus le login qui apparait alors dans la discussion mais "compte supprimé".
Bien cordialement,
Sophie - Contacter en MP
hmg
Nombre de posts : 26858Nombre de likes : 415Inscrit : 9 janvier 2005Bonjour,
Plutôt que supprimer le compte, je vous propose de supprimer les infos et éventuellement de modifier le pseudo. De cette maniere, les posts restent identifiés les uns par rapport aux autres.Cordialement, - HMG - hmg_71@yahoo.fr Expert comptable - Paris - www.hmgec.com Pensez à regarder le contexte et la date des réponses. Elles ne s'appliquent pas toujours à tous les cas. - Contacter en MP
dael007
Nombre de posts : 20Nombre de likes : 17Inscrit : 19 juillet 2016Je comprend pas les gens qui utilisent les données des CV des autres, ils peuvent pas inventer leurs propres expériences comme tout le monde ? - Contacter en MP
Free-Worker-174144
Nombre de posts : 4Nombre de likes : 2Inscrit : 25 février 2019A part un probleme de conformité RGPD et un probleme avec la CNIL je vois pas trop le risque sur le vol de mot de passe pour le compte freelance-info. le probleme legal serait les données a caractere personnel.
Le dump de base sql est frequent, la plupart des entreprises ne s'en rendent meme pas compte, c'est deja bien qu'on est etait averti.
Moi j'utilise KeePass pour eviter l'utilisation d'un meme mot de passe sur tous les sites. - Contacter en MP
htnfr
Nombre de posts : 1364Nombre de likes : 170Inscrit : 15 mars 2017
Ce n'est peut-être pas problématique pour toi, mais ce n'est pas le cas de tout le monde.AREMI a écrit : A part un probleme de conformité RGPD et un probleme avec la CNIL je vois pas trop le risque sur le vol de mot de passe pour le compte freelance-info. le probleme legal serait les données a caractere personnel.
Le dump de base sql est frequent, la plupart des entreprises ne s'en rendent meme pas compte, c'est deja bien qu'on est etait averti.
Moi j'utilise KeePass pour eviter l'utilisation d'un meme mot de passe sur tous les sites.
Le vol d'un identifiant / mdp ==> ça pourrais être utilisé sur les autres sites avec les infos plus importantes. Tout le monde n'a pas KeePass, il n'est pas sans inconvénient, par ex: tu es sur un PC tiers et tu as envie de te connecter à Freelance-info, c'est mort ... - Contacter en MP
Free-Worker-174144
Nombre de posts : 4Nombre de likes : 2Inscrit : 25 février 2019D'où le changement de mot de passe.
La bonne pratique veut que les mots de passes soient different sur chaque site apres il ya des solutions sur mobile aussi comme keepass. il faut juste se mettre a jour sur les nouvelles techno dispo et surtout ne pas negliger la sécurité.
Mon conseil a Freelance-info surtout aux Admins c'est de mettre un place une authentication forte 2FA. Cela protegera chacun de nos mdp.
c'est gratuit sur different mobile iOS et android comme google authenticator, authy, Microsoft authenticator etc... - Contacter en MP
Sosodu28
Nombre de posts : 44Nombre de likes : 12Inscrit : 4 juillet 2020Bonjour à tous,
Le hash des mots de passe qui a été diffusé est crypté (bcrypt depuis le 1er septembre, SHA512 avant), donc risque faible de reconstitution des couples login/password.
La déclaration CNIL a été faite.
Le(s) hacker(s) est passé par le serveur de test, qui était moins sécurisé (car n'ayant pas vocation à être connu), mais l'accès à la base nécessitait un login et password, couple qui a été forcé ou dérobé, il s'agit donc bien d'un acte malveillant.
Chacun de nos utilisateurs a reçu un mail lui indiquant les données ayant circulé pour ce qui le concerne et a été invité à sécuriser son compte.
Des mesures de sécurisation additionnelles des serveurs et BdD ont évidemment été mises en place depuis vendredi dernier, date de mise à jour de ce souci.
Bonne continuation à tous
Sophie - Contacter en MP
fullstack_obliged
Nombre de posts : 110Nombre de likes : 10Inscrit : 1 juin 2020
Heu pour les dump de BDD PROD, les donnees perso et d'autres definies par le metier sont a minima anonymisees (meme si c'est une pratique qui debute chez certains).AREMI a écrit : A part un probleme de conformité RGPD et un probleme avec la CNIL je vois pas trop le risque sur le vol de mot de passe pour le compte freelance-info. le probleme legal serait les données a caractere personnel.
Le dump de base sql est frequent, la plupart des entreprises ne s'en rendent meme pas compte, c'est deja bien qu'on est etait averti.
Moi j'utilise KeePass pour eviter l'utilisation d'un meme mot de passe sur tous les sites. - Contacter en MP
Free-Worker-784726
Nombre de posts : 2Nombre de likes : 1Inscrit : 27 janvier 2024Bonjour,
Via https://cybernews.com/personal-data-leak-check/, j'ai appris que mon compte a été piraté et que mes données personnelles sont en vente sur internet. Contrairement à ce que vous dites dans ce forum, je n'ai pas été averti de la fuite de mes données.
Free-Worker-99999999999Tant qu'un site n'est pas capable de vous recracher votre nom, prénom et des données sensibles que l'on ne retrouverais pas normalement de manière publique sur internet, associé à votre email que vous entrez sur la plateforme, mais simplement vous affiche un "vos données ont fuités" ou un truc du genre, partez du principe que ce genre de site ne sont que là pour faire l'inverse de ce qu'ils prétendent être : ils sont là pour justement aspirer vos données à votre insu et non pas vous démontrer que vos données ont fuitées.
C'est le même principe que les sites qui vous propose de vérifier la vitesse de votre débit. Ils ne servent à rien d'autre que récupérer des données sur vous. Passez directement par votre Faï quand vous voulez faire ça, ne passez pas par des sites tiers, même s'ils ont une certaine crédibilité apparente. - aurelienBOUIN
Je n'ai pas été prévenu non plus !
- Contacter en MP
Free-Worker-784726
Nombre de posts : 2Nombre de likes : 1Inscrit : 27 janvier 2024Non, c'est tout le contraire. https://haveibeenpwned.com et https://cybernews.com/personal-data-leak-check/ sont des organismes sérieux. Au contraire, si un site « recrachait » des nom, prénoms et autres données personnelles, on pourrait être sûr qu'il n'est pas fiable.
Free-Worker-99999999999Si vous le dites...
