on trouve de nombreux profils, certains créé il y a longtemps (au moins avant 2011) ou non (2020) s'étant reconnectés ces derniers jours (depuis au moins mi-janvier 2021) pour modifier certaines infos de leur profil pour en faire un profil publicitaire pour https://www.viagrasansordonnancefr.com
Les infos modifiées dans le profil sont:
- Etudes > Man
- Loisirs > GeorgedromeNA
- Envoyer un message instantanée à dathomir avec...
[Indent] AIM Georgedrome
Yahoo! Georgedrome
Skype™ GeorgedromeNA
- site internet > https://www.viagrasansordonnancefr.com[/Indent]
Je pense donc que c'est un bot qui a tenté de s'introduire dans les profils de membres et a mis sa pub lorsqu'il a pu.
Par ailleurs, beaucoup de ces profils n'ont pas l'allure des profils de spammeurs. En particulier, les adresses mail semblent honnêtes.
J'ai déjà tué une vingtaine de profils avant de me rendre compte qu'il s'agit probablement d'une erreur, je vais les dé-bannir.
Par ailleurs, 2914 membres utilisent leur identifiant comme mot de passe, mais je ne sais pas si c'est lié.
Je mets un mot sur slack et propose d'envoyer un mail à tous ces membres pour leur dire que leur compte a été corrompu et qu'ils doivent changer leur mdp.
[QUOTE]
Je propose d'envoyer un mail à tous ces membres pour leur dire que leur compte a été corrompu et qu'ils doivent changer leur mdp.
[/QUOTE]
Mieux : on peut directement réinitialiser les mdp de ces membres en leur envoyant directement un mail, mais je ne sais pas comment le faire sur toute une liste de diffusion. JPL ou Seb, une idée ?
Sinon, Guillaume devrait pouvoir.
Non, pas d’idée. Mais si tu réinitialises le MDP de ces membres es-tu sûr que leur mail n’a pas aussi été piraté, bien que ce soit peu probable ? On peut les mettre comme membres non approuvé ce qui permettrait de surveiller leur prochain message et, en attendant les avertir par mail ou MP que leur pseudo a été utilisé de façon illicite.
[QUOTE]
On peut les mettre comme membres non approuvé ce qui permettrait de surveiller leur prochain message et, en attendant les avertir par mail ou MP que leur pseudo a été utilisé de façon illicite.
[/QUOTE]
Je voulais le faire de manière automatique, mais comme 73 des 98 comptes corrompus ont 0 messages et sont déjà en "non-approuvés", je peux effectivement faire ça à la main.
Edit > C'est fait
[QUOTE]
Non, pas d’idée. Mais si tu réinitialises le MDP de ces membres es-tu sûr que leur mail n’a pas aussi été piraté, bien que ce soit peu probable ?
[/QUOTE]
C'est pas certain, mais il est bcp plus probable que leur compte FS ait été corrompu. On verra ce qu'en dit guillaume, je ne pense pas qu'on devrait faire gd chose de plus pour l'instant.
Bonjour,
Il me semble qu'on ne peut accéder qu'aux IP d'inscription et celles utilisées pour envoyer des messages -- pas les IP de connection.
Comme aucun message n'a été envoyé par le spammeur, on n'y peut rien. Peut-être que Guillaume aura des infos.
Pour info, 6 nouveaux profils ont été infectés depuis hier.
J’en ai vu quelques-uns aujourd’hui, mais il s’agissait de comptes sans messages. L’un d’eux s’était inscrit en 2019. Autrement dit, dans la liste des inscrits ave des sites web il faut remonter assez loin.
Je viens de regarder, chez FS le nombre de tentatives de connexion est limité, c'est donc plus probablement des mdp volés que de l'attaque au dictionnaire.
Je viens de regarder, chez FS le nombre de tentatives de connexion est limité, c'est donc plus probablement des mdp volés que de l'attaque au dictionnaire.
Mise à jour :
- Guillaume ne semble pas être passé par ici
- Une grosse centaine de profils ont été infectés
- Les usurpations ont eu lieu depuis le 14/01, et la dernière en date a eu lieu hier (donc c'est probablement pas fini), mais ca a fortement ralenti depuis le ~19/01 (une unique usurpation hier).
- L'ensemble des profils a été nettoyé et remis dans le groupe des "membres" (non approuvés).
Il serait peut être judicieux d'essayer de comprendre si
-le pirate rentre dans FS après être entré ailleurs (boite mail, autre compte sur un autre forum)
-le pirate entre dans FS en premier, par bruteforce par exemple
-la combinaison login/mot de passe a fuité (je n'ai pas trouvé de fuite commune aux quelques comptes que j'ai examinés par https://haveibeenpwned.com/
-Le pirate exploite une faille de VB
Visiblement, ce n'est pas un truc aussi simple que login=mot de passe. J'ai essayé, ça ne colle pas
Le pirate ne modifie pas l'adresse mail, ni le mot de passe (puisque extrazlove m'a écrit, par exemple, après que son compte ait servi), ce qui ne permet pas de dire grand chose mais ce qui laisse espérer que les titulaires peuvent facilement récuperer leur accès.
Est-ce qu'il existe une journalisation des évènements de login accessibles aux responsables tech ? J'ai bien peur que l'aide du staff FS soit facultative.
La marche à suivre en attendant serait prémod, commentaire dans le profil, MP ou mail pour prévenir la victime
La prémod me parait indispensable car certains compte ont été utilisés plusieurs fois pour des pubs différentes.
En attendant, je propose de tenir une liste de liens vers les profils corrompus, cela peut aider à trouver un point commun