100 % FREELANCE 100 % IT
100 % FREELANCE 100 % IT
 

Piratage de Freelance-info

mdeverdelhan

8 Messages

nouveau
26/02/2021 à 08:38

Bonjour à tous,

Apparemment la SAS AGSI (éditrice des sites turnover-it et freelance-info) a été piratée récemment. Damien Bancal (Zataz) vient de découvrir que les données (nom, prénom, email, mot de passe hashé, etc.) des utilisateurs étaient en vente sur via un canal spécialisé : https://www.zataz.com/fuite-de-donnees-pour-turnover-it/
Comme je pense que nous somme tous concernés ici, auriez-vous plus de renseignements à ce sujet ?

Dans tous les cas j'invite tous les membres à changer leur mots de passe.

Bonne journée quand même. :)

Modérateur FREELANCE INFO

26 Messages

actif
26/02/2021 à 10:02

Bonjour à tous, 

Nous vous remercions pour votre alerte, notre équipe IT est en train de travailler sur le sujet. 
Les mots de passe étaient cryptés mais par sécurité, nous vous recommandons de  les modifier.
Je reviendrai vers vous pour vous tenir informés le plus rapidement possible. 

Bien à vous 

Sophie

Membre-186697

1 Messages

nouveau
26/02/2021 à 21:19

Bonsoir,

Avez-vous davantage de précisions sur le type de données dérobées ?

Merci.

SeoExpert

291 Messages

impliqué
26/02/2021 à 21:35

Bonsoir,

Inutile de vous écrire que nous sommes nombreux ici à être extrêmement mécontents que beaucoup de données sensibles soient désormais dans la nature, faute de sécurisation de la base de données.

Car en réalité, ce n'est pas toute la société éditrice qui a été piratée. Il semble qu'il s'agisse des bases de données qui étaient utilisées... "en clair".

La gravité de la situation est liée d'une part au niveau de détail des informations diffusées, d'autre part au fait que pour beaucoup de freelances, données pro = données personelles (en particulier pour les micro-entrepreneurs et entrepreneurs individuels). 



Pour répondre à vos questions, la "fuite" de nos données concerne nos informations ci-dessous telles qu'enregistrées sur la plateforme aux alentours de décembre 2020 :

  • nom,
  • prénom(s),
  • adresse postale (complète),
  • login,
  • adresse courriel,
  • téléphone,
  • données parsées de nos CV (âge, études, missions...),
  • hash des mots de passe (algo non précisé mais MD5 / SHA1 probable).
Pour Sophie (modérateur) : on ne dit pas "crypté" mais "chiffré".

Et en l'occurrence, on ne devrait en réalité pas parler de "fuite" car nos précieuses données étaient tout simplement non sécurisées. La conséquence est que des individus dont la bienveillance reste à prouver, se partagent activement depuis fin 2020 nos données privées + des détails des missions passées avec parfois l'identité du client final.

Même si cela ne changera plus rien, nombreux ici vont songer à supprimer leur compte définitivement, étant choqués par les implications (surtout les habilités). Car au total, ce sont près de 200 000 professionnels de l'informatique qui sont concernés et cela aurait facilement pu être évité.

C'est scandaleux, une véritable faute professionnelle dans le contexte particulièrement sensible de ces dernières années.
En conclusion, je serais tenté de vous mettre durablement en garde contre de futures tentatives de hameçonnage.
Méfiez-vous de toute "nouvelle ESN" qui en saura beaucoup sur vous mais que vous ne connaitriez pourtant pas.
Pour ceux qui n'effaceront pas leur compte, considérez les prises de contact directes comme étant suspectes.

Pour rappel, vous n'êtes pas ici dans un hôpital, mais sur un site de recrutement d'experts en informatique...

adenoyelle

163 Messages

impliqué
26/02/2021 à 22:16

Peut-on savoir quel algorithme était utilisé pour hasher les mots de passe ?

autônomo

53 Messages

actif
26/02/2021 à 22:57

les données ont été dérobées quand ? à quelle date S'il vout plait, est ce que freelance info est impacté, pour information je pense créer un email dédié à freelance info

Olivier_M

1409 Messages

Grand Maître
26/02/2021 à 23:02

Membre-186697 a écrit :Bonsoir,

Avez-vous davantage de précisions sur le type de données dérobées ?

Merci.
Bonsoir,

Ce sont les données présentes sur la page récapitulative de votre profil. faites un tour sur l'article d'origine, dont mdeverdelhan nous a indiqué le lien. Basiquement, les champs que vous voyez en vous connectant à votre CV :
Titre du poste recherché, nombre d'année d'expérience, niveau d'études, disponibilité, adresse, téléphone...

Et oui, moi aussi ça m'agace quelque peu que des données aussi précises que mon adresse physique exacte et mon numéro de téléphone se baladent dans la nature.

Directeur de projet - Moyens de paiement / agrément bancaire / fusion / migration

phillipo

1 Messages

nouveau
26/02/2021 à 23:39

Moi qui venait juste de m'inscrire... C'est bien la peine que tous ici prenions pleins de précautions dans la vie avec des mots de passe fort, unique, des multifacteurs d'authentification etc, vous font confiance en mettant des données ultra sensibles qui les concerne et que derrière cela ce genre d'incidents arrivent... En effet aucun grand groupe n'est à l'abri mais avec autant de données sensibles ce n'est simplement pas possible de faire preuve de laxisme sur la sécurité.
Une pensée à tous et celles qui sont impactés et très en colère.

Javasion

10 Messages

discret
26/02/2021 à 23:43

Qu'en est-il des utilisateurs qui se log avec leur compte Linkedin, comme moi ? Est-ce qu'il y a un risque que cela impact mon compte Linkedin aussi ?

Java Developer

Membre-02533428

1 Messages

nouveau
27/02/2021 à 00:52

C'est tout simplement une honte ! Je vous invite à faire comme moi vous désinscrire et effacer votre compte, en espérant que ces données ne soient pas exploitées.

-Berthier-

32 Messages

actif
27/02/2021 à 00:59

Javamine a écrit :Qu'en est-il des utilisateurs qui se log avec leur compte Linkedin, comme moi ? Est-ce qu'il y a un risque que cela impact mon compte Linkedin aussi ?
Je ne suis pas sur Linkedin mais en général vous devriez voir dans vos paramètres Linkedin les applis autorisé à se connecter avec votre compte.

Premier lien trouvé sur Google : https://www.cnet.com/how-to/how-to-remove-app-connections-on-linkedin/


La fuite de donnée semble toucher précisément le site Freelance-info.fr selon le CM de Turnover-IT:


sisgl

1 Messages

nouveau
27/02/2021 à 09:57

Bonjour,

J'ai reçu un e-mail de la part de Freelance-Info ce matin, par sécurité je n'ai pas cliqué sur le lien qui me demandait d'aller modifier mon mot de passe, je suis venu vérifier directement sur le forum, je ne pense pas que le piratage avait pour objectif d'avoir nos mots de passes car souvent ils sont chiffrés ou minimum hashés, par contre nos informations personnelles et professionnelles étaient sûrement la cible et ces informations étaient en clair dans la base de données, pourquoi ces informations n'ont pas été protégées ?

allill79

19 Messages

discret
27/02/2021 à 10:24

Bonjour,

Il faut lancer une action de groupe en justice, ce n'est pas normale que nos données ne soient pas securisé.

Cordialement

Indep2013

138 Messages

très actif
27/02/2021 à 11:26

allill79 a écrit :Bonjour,

Il faut lancer une action de groupe en justice, ce n'est pas normale que nos données ne soient pas securisé.

Cordialement
Heu.... un peu extrême comme réaction...

On ne parle pas de données médicales ou de moyen de paiement.
Les données en question peuvent etre accessibles pour la ssii qui paie sur turnover-IT.
La fuite de données est plus que navrante mais ça n'exclue pas de prendre du recul afin de voir de quel type de données on parle.

-Berthier-

32 Messages

actif
27/02/2021 à 11:46

Indep2013 a écrit :
allill79 a écrit :Bonjour,

Il faut lancer une action de groupe en justice, ce n'est pas normale que nos données ne soient pas securisé.

Cordialement
Heu.... un peu extrême comme réaction...

On ne parle pas de données médicales ou de moyen de paiement.
Les données en question peuvent etre accessibles pour la ssii qui paie sur turnover-IT.
La fuite de données est plus que navrante mais ça n'exclue pas de prendre du recul afin de voir de quel type de données on parle.
Je ne pense pas que ces sociétés ont accès au hash de mon mot de passe, ni qu'elles essaient de les casser afin d'essayer de me piquer ma boite mail ou mon Paypal (en éspérant que le mot de passe soit le même). Et je ne pense pas non plus qu'elles aient accès à l'ensemble de l'historique de mon activités sur le site, notamment vis à vis des autres SSII...

Reste qu'il existe des disposition légale concernant le recueil et traitement de données à carractères personnel, des exigences de déclaration en cas de fuite de données, et des sanctions financières possibles pour manquement à la protection des données.
sisgl a écrit :je ne pense pas que le piratage avait pour objectif d'avoir nos mots de passes car souvent ils sont chiffrés ou minimum hashés
 
Les mots de passes du site sont hashé via du BCrypt, algo assez resistant. Néanmoins des acteurs spécialisés récupèrent tout leak de données afin de tenter de casser les mot de passe et retrouver les valeurs en clairs (ce qui est possible si le mot de passe est trop simple). Cela alimentent leur bases de couple login/password valides, qui leur permet de tenter de se connecter ensuite à d'autres sites avec ces credentials.

La personne qui vend le sdonnées n'a pas d'objectif autre que pécunier. Chaque acteur/acheteur viens y chercher ce qu'il veut : credentials, mails, n° de téléphone, etc.

SeoExpert

291 Messages

impliqué
27/02/2021 à 11:49

Bonjour,

Non, envisager une "class action" n'est pas du tout excessif.

Nos données étaient en quelque sorte stockées pour être "monétisées" auprès d'entreprises ensuite.
La société responsable de l'intégrité de nos données gagnait évidemment de l'argent avec nos profils.

Il fallait sécuriser ces informations, d'autant qu'ici ce sont des données groupées et réellement très sensibles.
Nom, prénom, âge, niveau d'étude, tél, mail, adresse postale, missions passées, expertises, anciens clients, etc.

Ce manque de rigueur nous expose à des tentatives de hameçonnage très "fines" à l'avenir.

Donc non, pas excessif.

Freelance91

1577 Messages

Grand Maître
27/02/2021 à 11:56

adenoyelle a écrit :Peut-on savoir quel algorithme était utilisé pour hasher les mots de passe ?
Sûrement du md5 ...

-Berthier-

32 Messages

actif
27/02/2021 à 12:02

Freelance91 a écrit :
adenoyelle a écrit :Peut-on savoir quel algorithme était utilisé pour hasher les mots de passe ?
Sûrement du md5 ...
-Berthier- a écrit :Les mots de passes du site sont hashé via du BCrypt
 

datamining

6 Messages

nouveau
27/02/2021 à 12:14

Pour rassurer les utilisateurs, pouvez-vous donner les mesures mises en place (ou qui seront mises en place) :
- Outils utilisés pour éviter les injections SQL ou failles dans le code ?
- Types de base utilisées (managées dans le cloud ou sécurisées par vous et comment) ?
- Chiffrements et méthodes de hashing utilisé ou envisagé : SHA, MD5,  chiffrement AES, chiffrement homomorphe pour les données les plus sensibles, ...
- Mode de gestion des clés (HSM?)
- VPN
- Double authentification en option
- Rotation des clés de chiffrements
- Monitoring des logs / sondes
- Firewall
- Audit externe
- ...

Indep2013

138 Messages

très actif
27/02/2021 à 12:17

SeoExpert a écrit :...ce sont des données groupées et réellement très sensibles.
Nom, prénom, âge, niveau d'étude, tél, mail, adresse postale, missions passées, expertises, anciens clients, etc......
 
C'est le contenu de ton CV que tu mets disposition sur un site et des clients peuvent ou non l'acheter.
Tu exposes tes données potentiellement à n'importe qui, qui accepte de payer.
Donc non, ce ne sont pas des données ultra mega sensible.

Des données trés sensibles sont des données médicales, moyen paiement, ...
Si une société ou un oragnisme a ce type de données en sa possession, elle ne les vend pas et ne les partage pas avec le premier qui passe et qui paie. Elle ne les commercialise pas.

Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un  site web marchand ou de données médicales d'un hopital.

Seo, si dans le cas présent il s'agit de données "réellement très sensibles" alors comment classes-tu des données médicales, données de CB, données stratégique d'une société (ex : prévision d'OPA), plan d'un missile,....?

Indep2013

138 Messages

très actif
27/02/2021 à 12:20

datamining a écrit :Pour rasurrer les utilisateurs, pouvez-vous donner les mesures mises en place (ou qui seront mises en place) :
- Outils utilisés pour éviter les injections SQL ou failles dans le code ?
- Types de base utilisées (managées dans le cloud ou sécurisées par vous et comment) ?
- Chiffrements et méthodes de hashing utilisé ou envisagé : SHA, MD5,  chiffrement AES, chiffrement homomorphe pour les données les plus sensibles, ...
- Mode de gestion des clés (HSM?)
- VPN
- Double authentification en option
- Rotation des clés de chiffrements
- Monitoring des logs / sondes
- Firewall
- Audit externe
- ...
Les mesures de sécurité mise en oeuvre n'ont pas....euh....vraiment vocation à être diffusées de manière publique.
A la limite on peut parler de maniere TRES macro mais on ne fournit pas les résulats d'audit.

-Berthier-

32 Messages

actif
27/02/2021 à 12:32

Indep2013 a écrit :
SeoExpert a écrit :...ce sont des données groupées et réellement très sensibles.
Nom, prénom, âge, niveau d'étude, tél, mail, adresse postale, missions passées, expertises, anciens clients, etc......

 
C'est le contenu de ton CV que tu mets disposition sur un site et des clients peuvent ou non l'acheter.
Tu exposes tes données potentiellement à n'importe qui, qui accepte de payer.
Donc non, ce ne sont pas des données ultra mega sensible.

Des données trés sensibles sont des données médicales, moyen paiement, ...
Si une société ou un oragnisme a ce type de données en sa possession, elle ne les vend pas et ne les partage pas avec le premier qui passe et qui paie. Elle ne les commercialise pas.

Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un  site web marchand ou de données médicales d'un hopital.

Seo, si dans le cas présent il s'agit de données "réellement très sensibles" alors comment classes-tu des données médicales, données de CB, données stratégique d'une société (ex : prévision d'OPA), plan d'un missile,....?
Oui et des données de santé perso ne sont rien face au code de lancement nucléaire. Bon ok on peut continuer comme ça longtemps...

Il ne me semble pas que tu postes publiquement les lettre de motivations envoyés aux entreprises? Car là elles sont dans la base de donnée qui a fuité. Quand je vois des annonces qui marquent nécéssiter une habilitation confidentielle défense, je suppose que tu n'affiche pas publiquement que tu as déjà eu une telle habilitation. Or là il est probablement facile de faire le le lien entre des annonces et des candidats.

Bref, non tout n'es pas publique. Les entreprises clientes de Turnover-it/Freelance-info ne récupère pas une BDD complète du site web.
Indep2013 a écrit :Les mesures de sécurité mise en oeuvre n'ont pas....euh....vraiment vocation à être diffusées de manière publique.
A la limite on peut parler de maniere TRES macro mais on ne fournit pas les résulats d'audit.
 
C'est la moindre des choses que de partager publiquement comment cette base à fuité (injection SQL, backup de la base accessible, etc) et des contre mesures mises en place afin que cela n'arrive plus.

Acant

35 Messages

actif
27/02/2021 à 12:36

Indep2013 a écrit : Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un  site web marchand

 
Oui tu as raison, une CB un coup de téléphone à sa banque et on en change.
Relativement plus compliqué de changer de nom, prénom et date de naissance par exemple.

Indep2013

138 Messages

très actif
27/02/2021 à 14:20

-Berthier- a écrit : Il ne me semble pas que tu postes publiquement les lettre de motivations envoyés aux entreprises?

 
Non, mais en les mettant sur turnover-IT, tu les mets a disposition de n'importe qui qui paie. 
-Berthier- a écrit :  Quand je vois des annonces qui marquent nécéssiter une habilitation confidentielle défense, je suppose que tu n'affiche pas publiquement que tu as déjà eu une telle habilitation.
 
Je ne connais pas les us et coutumes concernant le fait d'afficher ou non sur son CV son niveau d'habilitation, en revanche si la personne l'affiche c'est que l'information n'est pas confidentiel car comme je le répete n'importe qui qui paie peut avoir l'information.

Il me semble que tu peux toujours essayer d'acheter les données médicales à un hopital ou les numéro de CB à Amazon, ça va être difficile d'obtenir quelque chose


 
-Berthier- a écrit : C'est la moindre des choses que de partager publiquement comment cette base à fuité (injection SQL, backup de la base accessible, etc) et des contre mesures mises en place afin que cela n'arrive plus.
 
Oui c'est normal d'expliquer sans trop rentrer dans les détails comme est arrivée la fuite et quelles sont les mesures mises en oeuvre sans trop rentrer dans les détails.

Pour information, les rapports d'audits de sécurité, de tests de pénétrations, les dossiers de sécurité (qui contiennent les mesure de sécurité) d'un système, sont des dossiers confidentiels. C'est donc logique de ne pas en diffuser le contenu.

Indep2013

138 Messages

très actif
27/02/2021 à 14:23

Acant a écrit :
Indep2013 a écrit : Je répete que je trouve cette fuite de données trés navrante mais ça ne peut être comparé en terme d'impact à une fuite de données de CB d'un  site web marchand



 
Oui tu as raison, une CB un coup de téléphone à sa banque et on en change.
Relativement plus compliqué de changer de nom, prénom et date de naissance par exemple.
Hahahaa, si on connait ton nom et prénom, ça te gêne tellement que tu vas vouloir en changer??
Avant que tu ais changé de CB, le n° de la CB peut avoir servit à commander des jantes livrées en roumanie