paraglidingforum hacked

PGforum s’est fait hacker.

Voici ce qu’on trouve sur leur page d’accueil:

[quote]We are sorry to inform you that the forum has been hacked.

We are working hard to fully investigate the event.
The status so far is :

1. No data loss , or the posts of 28/3 in the worst case.
2. we know how it happened, from where (Ukraine IP), and what to do to prevent it.
3. We DONT know if the UserDB is stolen. If this is the case , the hacker may have the user emails and the passwords in cryptographic form. Although the passwords are cryptographed, they can be breaked. So if a user uses the same password in some other websites it is recommended as a precotion to change his password at these other websites.

we will bring up the forum as soon as possible, till then go out and get some flying.
Update 30/3/2009
We forced to believe that a big percentage of the user passwords is stolen. If you use the same password you have in this forum in any other way , WE STRONGLY URGE YOU TO CHANGE IT NOW!!

We will reset your password of the forum and send you an email with the new one.
[/quote]
Si vous utilisez le même login / mot de passe sur d’autres forums, ils recommandent de changer de mot de passe, car les hackers sont en possession des login/pass de pgforum.

EDIT : Bon en fait j’apprends à lire et :sors:
(pour ceux qui comprendraient pas, j’ai juste effacé un commentaire qui était complètement injustifié vu que je n’avais pas lu mais seulement survolé le message précédent…)

Auto-modération quand tu nous tiens !!! ROTFL

oui ! tout à fait ! :mrgreen:

:affraid:

mince me suis peut être fait voler un de mes mot de passe préféré (peut être même dans la liste des : faitchier, motdepasseàlacon, mékeskilmemmerde …) :bang:

:mdr:

:mdr:

Euhh, paragliding fofo ne crypte pas ses mots de passe ? même pas un petit md5 ?
c’est pas sérieux tout ça…

un md5 ça se casse … comme tout cryptage qui se casse d’autant plus facilement que tu as accés au MdP crypté (et donc la base et pas seulement un “accès de nier”)

c’est quoi un “accès de nier” ?

“comme tout cryptage qui se casse d’autant plus facilement que tu as accés au MdP crypté” ? Je suis pas sûr de comprendre ce que tu veux dire, mais dans le cas d’une fonction de “hashage”, le seul secret c’est le message en clair, le reste c’est connu. Il ne reste que l’algo à attaquer (connu), et la mise à dispo des mots de passe après hash ne t’apporte rien dans l’affaire (pas de clé privée à deviner). J’ai peut être mal compris ce que tu disais :grat:

Après, concernant pgf, je doute que la base des mdp soit suffisamment importante pour que le script kiddie prenne le temps de s’y interesser (une attaque de SHA1 par ex, ça se compte pas en secondes la dernière fois que j’ai regardé), donc n’avoir même qu’un simple hash aiderait bien

Je ne suis pas sur que sur les moteurs phpBB comme celui utilisé par pgf, les MdP ne sont pas stockés et seulement représentés par un hash (destructif par définition et donc empechant de retrouver le MdP initial).
Pgf a fait parvenir un message a tout ses membres leur demandant de changer leur mot de passe sur d’autre forum si c’etait le même que sur pgf, ca veut donc dire qu’il est stocké de manière complète (et pas forcément cryptée).

ça dépend… Par exemple, dans le cas des mot de passe de windows (je sais plus la version exacte), tu peux construire des attaques qui te permettent de trouver le mot de passe, voir ophcrack.
Sinon effectivement, en général, les attaques visent à trouver des collisions: t’as pas le mdp initial, mais un “mdp de substitution” (Bruce Schneier explique ça bien)

ça y est ça parle mandarin moderne! :grat:
courage! fuyons! :rando:

Et encore, là, on a pas crypté en md5 ! :sors:

e7c714f84f25c28eb3f9e4f6ef82d52d !

تانتاشيسغهزردذتاشزضخهعخهارب نذستاتاذر صزتنذازد تنصزابتناصنتا! :grrr2: non mais!

すしをたべます !!

Языковые инструменты ?

j’allais le dire!

ouah…du savais que t’as marquer “outils linguistiques” en Russe?
c’est quand meme génial ce truc de traduction gogole! :dent:

Da, ia znaiou…

oui, je savais