Incident SQL et changement de mot de passe obligatoire

De Wiki IRC
Aller à :navigation, rechercher

Bonjour,

Entre le 20 mars à 16h45 et 21 mars à 12h30, la base de données SQL de Discussionner.com a été compromise (un hack par injection SQL). L'hackeur en SQL a dérobé toutes les informations de chaque compte par lequel vous vous connectez (https://discussionner.com, de la partie identifiant/mot de passe).

Informations volées (probablement)

Les informations qui ont été volées sont :

  • le pseudo (identifiant unique)
  • l'adresse e-mail
  • le mot de passe (à la fois en clair et en hash)
  • date de création du compte
  • dernière connexion au compte
  • numéros de téléphone pour l'OTP (seulement si vous l'avez confirmé)

Toutes les informations volées sont celles que vous avez renseignées sur le formulaire d'inscription au tout début.

Informations non volées

Voici les données qui n'ont pas été volées, car soit elles n'existent pas, soit elles ne font pas partie d'une base de données SQL :

  • Les conversations (elles n'existent pas)
  • Les uploads (messages vocaux, photos, …) (l'hackeur n'a volé que les stats via SQL qui sont remises à zéro tous les 7 jours)
  • Les utilisateurs qui se connectent avec Google sur Discussionner.com ont un mot de passe généré automatiquement. Ce mot de passe a été changé et n'est pas utilisé, sauf s'ils décident de le modifier eux-mêmes.
  • Les informations des bots (Quiz, Tapavu, etc..) n'ont pas été volés, car ils n'ont pas de compte SQL.

Résumé des informations sensibles

Pour faire simple, l'hackeur n'a volé que les informations sensibles suivantes :

  • l'adresse e-mail
  • le mot de passe
  • le numéro de téléphone ou WhatsApp (seulement si vous l'avez renseigné)

Mise à jour et sécurisation

Dans la soirée du 22 mars 2026, une mise à jour du site a été faite, ce qui a réparé l'injection SQL par laquelle l'hackeur a pénétré. La faille est corrigée depuis le 22/03/2026 à 23h00.

Le 23/03/2025 à 18h00, une protection en plus a été mise en place qui permet de détecter et de bannir automatiquement une tentative d'injection SQL dès le premier essai.

Mise en place d'un grand signalement pour changer de mot de passe

Les comptes qui ne sont pas concernés par ce hack par injection SQL sont ceux des utilisateurs qui se sont connectés sur Discussionner.com avec l'authentification via Google (en utilisant le bouton: se connecter avec un compte Google).

À partir du 23 mars 2026 (dans la journée), nous forcerons tous les utilisateurs à changer leur mot de passe obligatoirement. Vous pouvez le faire dès maintenant à partir de votre compte sur https://discussionner.com en vous connectant, si ce n'est pas déjà fait, puis en allant sur Mon Compte & Profil et Changez le mot de passe.

Si vous ne pouvez pas vous connecter à votre compte, allez sur la page "Mot de passe perdu", saisissez votre adresse e-mail, cliquez sur le lien dans votre e-mail, fournissez un nouveau mot de passe, puis connectez-vous.

Conseils pour vos mots de passe

Veuillez ne pas mettre le même mot de passe sur tous les sites que vous utilisez. Par exemple, sur Discussionner, votre mot de passe peut très bien être :

  • AABBCCDD@EE;@FF

Et sur un autre site sur Internet, ça peut très bien être :

  • DDBBAA@F;F@EE

Et sur vos autres comptes d'autres sites sur Internet :

  • DDBBAA@F;F@EE111
  • DDBBAA@F;F@EE222
  • DDBBAA@F;F@EE333

À la place de 111, 222 ou 333, ça peut être les derniers chiffres d'une plaque d'immatriculation ou autre. Il suffit d'inverser, d'en mettre plus, de mixer, et vous aurez un mot de passe unique et sécurisé pour tous vos comptes sur Internet.

Après avoir changé votre mot de passe, votre compte redeviendra tranquille comme avant.


Récupérée de « https://www.wiki-irc.fr/index.php?title=Incident_SQL_et_changement_de_mot_de_passe_obligatoire&oldid=23610 »