100 % FREELANCE 100 % IT
100 % FREELANCE 100 % IT
 

Piratage de Freelance-info

-Berthier-

32 Messages

actif
27/02/2021 à 14:43

Indep2013 a écrit :
-Berthier- a écrit : C'est la moindre des choses que de partager publiquement comment cette base à fuité (injection SQL, backup de la base accessible, etc) et des contre mesures mises en place afin que cela n'arrive plus.


 
Oui c'est normal d'expliquer sans trop rentrer dans les détails comme est arrivée la fuite et quelles sont les mesures mises en oeuvre sans trop rentrer dans les détails.

Pour information, les rapports d'audits de sécurité, de tests de pénétrations, les dossiers de sécurité (qui contiennent les mesure de sécurité) d'un système, sont des dossiers confidentiels. C'est donc logique de ne pas en diffuser le contenu.

 
Je pilote une cinquantaine d'audits/pentest par an, et je suis moi même un ancien pentester donc je connais un peu le sujet.

Donc je maintient : si une boite à une vulnérabilité exploitée par un attaquant c'est la moindre des choses de fournir le détail de l'attaque, des causes qui l'ont permis (la vulnérabilité, le manque de contrôle en amont, etc) et les contre mesures désormais en place. Il n'y a que comme ça que la boite peut éventuellement regagner ma confiance. Je ne sais pas où vous placer le curseur de "trop rentrer dans les détails" mais la sécurité ne peut se reposer sur la méconaissance des mécanismes de sécurité en place.

La "Security through obscurity" on en est revenu depuis longtemps. Le full disclosure s'est imposé est montre son efficacité. Alors oui quand on prend pas la sécurité au sérieux on évite de publier des rappots d'audits dont on sait d'avance qu'on ne corigera rien. Mais quand on la prend au séireux on peut se le permettre. Par exemple l'application de messagerie Olvid a mis en ligne leur dernier rapport d'audit.

Indep2013

138 Messages

très actif
27/02/2021 à 15:43

-Berthier- a écrit : ... Je ne sais pas où vous placer le curseur de "trop rentrer dans les détails" mais la sécurité ne peut se reposer sur la méconaissance des mécanismes de sécurité en place....


 
Je n'ai jamais dit qu'il fallait baser la sécurité sur la méconnaissance des mécanismes de sécurité (un extrême de la balance) mais a contrario il ne faut pas non plus publier l'intégralité de toutes les informations liées à la sécurité (autre extrême de la balance). Je n'ai jamais vu une société mettre à disposition du public les résultats d'audits de sécurité, les dossiers de sécurité du SI et ce n'est pas prés d'arriver.

HMG_alter

3 Messages

nouveau
28/02/2021 à 08:49

Bonjour,

Le suivi n'a pas l´air génial pour l'instant. 

J'ai suivi la procédure pour changer de mot de passe : cela a bugué. 

Je suis passé par la procédure "mot de passe oublié", j'attend des mails depuis hier 12h qui ne sont ni dans ma boîte, ni dans mes spams. 

Bref, très moyen comme gestion de crise. 

Le site doit se reprendre rapidement. 

Sur le piratage lui même : Les données sont pour la plupart déjà disponibles par croisement sur plusieurs plateformes. Ce qui est plus ennuyeux n'est le hash du mot de passe si ce même mot de passe est utilisé ailleurs. Pour le fishing, il faut de toute façon être prudent avant ou après ce piratage.

Cordialement,

- HMG -
qui aimerait récupérer son compte un jour. 
hmg_71@yahoo.fr

Cordialement,

- HMG -
EC Paris
hmg_71@yahoo.fr

Modérateur FREELANCE INFO

26 Messages

actif
28/02/2021 à 10:21

Bonjour à tous,

Nous sommes profondément désolés pour ce désagrément et nous comprenons votre mécontentement.
tHier, nous avons contacté par email tous nos utilisateurs pour les informer de la fuite de données que notre site a subi.

Quand les données ont-elles été dérobées ?
D’après nos informations actuelles, les données auraient été dérobées le 18 décembre.

Quelle est la nature et le volume des données personnelles compromises ?
Il s’agit d’une partie de la base de données de Freelance-info.
Cette partie de la base comprend les personnes inscrites sur notre plateforme Freelance-info. Les données dérobées ont été mentionnées par email à chacun de nos utilisateurs, selon les différents cas :

  • Nom et Prénom,
  • Login et hash du mot de passe
  • Adresse email
  • Les données extraites de votre CV (parsing), pour les personnes ayant déposé un CV en base depuis moins de 12 mois ou dont une MAJ date de moins de 1 an.
Vos accès aux comptes LinkedIn ou Google ne sont pas mis en cause par l’authentification simplifiée.
190 000 utilisateurs ont été concernés, dont 43.000 CV environ.

Est-ce que des mots de passe ont été dérobés ?
C’est le « hash » des mots de passe qui a été dérobé, donc la version « chiffrée » du mot de passe. Nous ne pouvons pas donner plus d’indiction sur l’algorithme de « hash » pour des raisons évidentes de confidentialité. Celui-ci a été changé. Nous vous invitons donc à renforcer la sécurité de votre compte en modifiant votre mot de passe.

Quelles mesures sont prises pour protéger le système informatique de Freelance-info ?
Des mesures correctives ont été mises en place pour empêcher la reproduction d’une attaque selon les mêmes procédures (modification des accès serveurs et bases de données).
Nous avons saisi la Commission nationale de l’informatique et les libertés (CNIL), l’ANSSI, ainsi que la justice (dépôt de plainte en cours).

Je suis titulaire d’un compte Freelance-info. Comment puis-je supprimer mon compte ?
Un accès dédié à la suppression est disponible dans votre compte. Une fois l’action entreprise, toutes vos données sont immédiatement effacées.  Hélas, rien n’est possible pour les données ayant fuité.

Bien cordialement 

Sophie

fullstack_obliged

85 Messages

très actif
01/03/2021 à 10:25

Olivier_M a écrit :
Membre-186697 a écrit :Bonsoir,

Avez-vous davantage de précisions sur le type de données dérobées ?

Merci.
Bonsoir,

Ce sont les données présentes sur la page récapitulative de votre profil. faites un tour sur l'article d'origine, dont mdeverdelhan nous a indiqué le lien. Basiquement, les champs que vous voyez en vous connectant à votre CV :
Titre du poste recherché, nombre d'année d'expérience, niveau d'études, disponibilité, adresse, téléphone...

Et oui, moi aussi ça m'agace quelque peu que des données aussi précises que mon adresse physique exacte et mon numéro de téléphone se baladent dans la nature.
Bof pour ma part je ne considere pas qu'il y a un gros probleme.

Dans l'absolu toutes ces infos sont deja sur mon linkedin +/- hormis pour le lien avec ma boite... je pense qu'il faudra surtout etre encore plus vigilant a tout mouvement de fonds sur nos comptes entreprise.

RR

1 Messages

nouveau
01/03/2021 à 10:45

C'est "alarmant, les données suivantes de chacuns ont été piratées !!!

  • nom,
  • prénom(s),
  • adresse postale (complète),
  • login,
  • adresse courriel,
  • téléphone,
  • données parsées de nos CV (âge, études, missions...),
  • hash des mots de passe (algo non précisé mais MD5 / SHA1 probable).
pour info, Free, Orange, Canal+, Netflix, Linkedin, AppleCount et toutes les plateformes de CV ont déjà ces données élémentaires, mes données et surement vos données.... Ah, Facebook aussi... Twitter, Snapchat, Insta .... pis aussi, LAPoste, Carrefour Market, Marrionaud, Basic-Fit.... et Auchan ont aussi mes données.... tous les services administratifs, sociales, mairies, impôts ont aussi ces données.

Hormis le mot de passe à rechanger en 10 secondes, je vois pas ce que ça change .... Franchement, je lis les réact. alarmistes, on a l'impression de s'être fait pirater des comptes bancaires ... 

Mon CV a dû être revendu sur une autre plateforme de recrutement en UK et tant mieux, je me ferai sans doute moins ch*ier à recréer un compte chez eux.

Sinon, FREELANCE-INFO est quand même un super service de mise en relation pro. Merci.

Modérateur FREELANCE INFO

26 Messages

actif
01/03/2021 à 12:32

Bonjour - HMG -, 
Je suis désolée pour ce désagrément. 

Suite à un trop grand nombre d’envois d’emails, vendredi soir, pour prévenir nos utilisateurs, notre serveur d’emailing a été bloqué momentanément, pour des raisons de sécurité.

Tout est rentré dans l'ordre ce matin, n'hésitez pas à me contacter par MP ou par email, si vous ne recevez toujours pas le mail de réinitialisation de votre mot de passe.  

Bien cordialement,

Sophie

fullstack_obliged

85 Messages

très actif
01/03/2021 à 13:16

Au passage j'en profite aussi pour dire que je ne sais pas ce qui se passe sur le net depuis quelques temps mais c'est vrai que les logs de mon tout petit site de photos de rien du tout est rempli d'attaques.

Appels get sur des urls contenant toutes sortes de regexp type wp-admin, admin, fichier .env etc.... C'est quand meme affolant... Pour un site sur lequel je ne vends rien, qui ne me sert que de blogging et photographie, et qui n'est meme pas encore bien connu je trouve ca vraiment ridicule...

Indep2013

138 Messages

très actif
01/03/2021 à 14:05

Fullstack,
votre site est attaqué/scanné par des robots qui ne se préoccupent pas du contenu. Ils recherchent simplement des sites qui ont des failles.

Hellvtic

5 Messages

nouveau
02/03/2021 à 12:44

Nonnnnn Mon cv que j'ai envoyé à la moitier des ESN Parisienne et qui est en clair sur Linkedin a fuité ? 

Ah ben je vais pas dormir de la nuit moi...

Bon faut arréter un peu la paranoia, toute ces infos les Gafa les connaissent déjà depuis bien longtemps, je les considère d'ailleurs comme publiques, elles doivent figurer dans nombre de banques de CV qui ont certainement été maintes fois vendues-voilées, c'est pas pour cela que je vais me passer de freelance-info et encore moins parler de scandales ou de class action (là on touche le ridicule).

SeoExpert

291 Messages

impliqué
03/03/2021 à 18:13

Bonsoir,

J'envisage d'effacer mon compte de façon définitive dans les mois à venir.

L'équipe de modération peut-elle dire si l'effacement d'un compte entraînera l'effacement des publications sur le forum ?

Merci d'avance !

Droopyann

164 Messages

impliqué
04/03/2021 à 10:52

Bonjour,

Ce serait bizare d'effacer certaines publications et pas d'autres.
On ne comprendrait plus rien aux fils de discussion en question, non ?

Yann
EURL-IS depuis juillet 2019

Modérateur FREELANCE INFO

26 Messages

actif
04/03/2021 à 11:59

Bonjour à tous, 
lorsque vous supprimez votre compte de la plateforme Freelance-info, les posts publiés restent en ligne. 
Ce n'est plus le login qui apparait alors dans la discussion mais "compte supprimé". 
Bien cordialement, 
Sophie

hmg

25881 Messages

Grand Maître
04/03/2021 à 15:18

Bonjour,

Plutôt que supprimer le compte, je vous propose de supprimer les infos et éventuellement de modifier le pseudo. De cette maniere, les posts restent identifiés les uns par rapport aux autres.

Cordialement,

- HMG - hmg_71@yahoo.fr
Expert comptable - Paris - www.hmgec.com
Pensez à regarder le contexte et la date des réponses. Elles ne s'appliquent pas toujours à tous les cas.

dael007

19 Messages

discret
04/03/2021 à 18:35

Je comprend pas les gens qui utilisent les données des CV des autres, ils peuvent pas inventer leurs propres expériences comme tout le monde ?

AREMI

4 Messages

nouveau
04/03/2021 à 19:03

A part un probleme de conformité RGPD et un probleme avec la CNIL je vois pas trop le risque sur le vol de mot de passe pour le compte freelance-info. le probleme legal serait les données a caractere personnel.

Le dump de base sql est frequent, la plupart des entreprises ne s'en rendent meme pas compte, c'est deja bien qu'on est etait averti.
Moi j'utilise KeePass pour eviter l'utilisation d'un meme mot de passe sur tous les sites.

htnfr

864 Messages

impliqué
05/03/2021 à 11:01

AREMI a écrit :A part un probleme de conformité RGPD et un probleme avec la CNIL je vois pas trop le risque sur le vol de mot de passe pour le compte freelance-info. le probleme legal serait les données a caractere personnel.

Le dump de base sql est frequent, la plupart des entreprises ne s'en rendent meme pas compte, c'est deja bien qu'on est etait averti.
Moi j'utilise KeePass pour eviter l'utilisation d'un meme mot de passe sur tous les sites.
Ce n'est peut-être pas problématique pour toi, mais ce n'est pas le cas de tout le monde.
Le vol d'un identifiant / mdp ==> ça pourrais être utilisé sur les autres sites avec les infos plus importantes. Tout le monde n'a pas KeePass, il n'est pas sans inconvénient, par ex: tu es sur un PC tiers et tu as envie de te connecter à Freelance-info, c'est mort ...

AREMI

4 Messages

nouveau
05/03/2021 à 14:52

D'où le changement de mot de passe.
La bonne pratique veut que les mots de passes soient different sur chaque site apres il ya des solutions sur mobile aussi comme keepass. il faut juste se mettre a jour sur les nouvelles techno dispo et surtout ne pas negliger la sécurité.

Mon conseil a Freelance-info surtout aux Admins c'est de mettre un place une authentication forte 2FA. Cela protegera chacun de nos mdp.
c'est gratuit sur different mobile iOS et android comme google authenticator, authy, Microsoft authenticator etc...

Modérateur FREELANCE INFO

26 Messages

actif
05/03/2021 à 15:35

Bonjour à tous,

Le hash des mots de passe qui a été diffusé est crypté (bcrypt depuis le 1er septembre, SHA512 avant), donc risque faible de reconstitution des couples login/password.
La déclaration CNIL a été faite.
Le(s) hacker(s) est passé par le serveur de test, qui était moins sécurisé (car n'ayant pas vocation à être connu), mais l'accès à la base nécessitait un login et password, couple qui a été forcé ou dérobé, il s'agit donc bien d'un acte malveillant.
Chacun de nos utilisateurs a reçu un mail lui indiquant les données ayant circulé pour ce qui le concerne et a été invité à sécuriser son compte.
Des mesures de sécurisation additionnelles des serveurs et BdD ont évidemment été mises en place depuis vendredi dernier, date de mise à jour de ce souci.

Bonne continuation à tous 

Sophie

fullstack_obliged

85 Messages

très actif
12/03/2021 à 10:33

AREMI a écrit :A part un probleme de conformité RGPD et un probleme avec la CNIL je vois pas trop le risque sur le vol de mot de passe pour le compte freelance-info. le probleme legal serait les données a caractere personnel.

Le dump de base sql est frequent, la plupart des entreprises ne s'en rendent meme pas compte, c'est deja bien qu'on est etait averti.
Moi j'utilise KeePass pour eviter l'utilisation d'un meme mot de passe sur tous les sites.
Heu pour les dump de BDD PROD, les donnees perso et d'autres definies par le metier sont a minima anonymisees (meme si c'est une pratique qui debute chez certains).