Sujet : Etat des lieux et précautions à prendre
Gnap_Gnap
Bonjour à tous,
Suite à l'attaque de cette nuit une correction a été apportée sur le code incriminé, tout est rentré dans l'ordre.
Selon nos premières informations, vos données ne semblent pas avoir été affectées (données perso, mots de passe ...).
Cependant, par mesure de précaution, nous invitons toutes les personnes s'étant connecté entre le 21/08 vers 18h et le 23/08 vers 12h à réinitialiser leur mot de passe.
Pour ce faire, connectez vous au site, cliquez sur votre avatar en haut à droite, puis "paramètres", puis "modifier les informations du compte".
De même, si vous aviez le même mot de passe sur d'autres sites, nous vous encourageons à en changer sur ces sites également.
Je le répète, il s'agit d'une simple mesure de précaution, on n'est jamais trop prudents. Tout indique qu'aucune donnée sensible n'a été touchée, et nous allons prendre le temps qu'il faudra cette semaine pour examiner en détail ce qui s'est passé afin de nous en assurer.
Merci de votre compréhension. Nous tenons à vous présenter nos excuses pour les soucis que vous avez pu rencontrer pendant votre surf habituel sur le site, et pour la gêne occasionnée en général.
K-Skun
Merci d'avoir réagi si vite 
![[sf]](https://image.jeuxvideo.com/avatars/0/[SF]-1404717933-b.jpg){kind=avatar}
[sf]
Embrasse moi chéri !
R1mbaud
Est-ce que Cedric Siré est venu avec un extincteur pour boucher la faille ?
R-Hammond
J'ai pas que ça a faire de changer mon mdp 
Merde, donc si mon compte bancaire s'est vidé ça a aucun rapport avec cette faille
![[[sticker:p/1kks]]](https://image.jeuxvideo.com/stickers/p/st/1kks)
Therealsorrow
Le 23 août 2015 à 12:51:06 Mand_Arryn a écrit :
Inutile
La faille ne permettait que de changer le style et placer des balises HTML...
Tu es sur de ça ? .
s2ada
De même, si vous aviez le même mot de passe sur d'autres sites, nous vous encourageons à en changer sur ces sites également.
Olala cette plaie 
Therealsorrow
Le 23 août 2015 à 12:57:04 s2ada a écrit :
De même, si vous aviez le même mot de passe sur d'autres sites, nous vous encourageons à en changer sur ces sites également.
Olala cette plaie
Celui qui a le même mdp sur + de 100 sites va s'amuser 
K-Skun
C'est pas vraiment utile de changer tous ces mots de passe.
Il ne faut pas être parano
Therealsorrow
Le 23 août 2015 à 13:01:37 Mand_Arryn a écrit :
Bah oui
comment tu voulais voler les mots de passe ?
Je ne sais pas je connais pas assez le sujet pour prétendre m'avancer la dessus ,via le cache ou j'en sais rien . Après si tu es sur tant mieux
marinboss
Changer un mot de passe pour une faille comme ca faut être parano 
Et alors le changer sur les autres sites si on a le même
raptor_muslim
Il n'y a aucun moyen de récupérer le mot de passe avec ce genre de trucs. Ils n'ont pas mis de script sur la page de connexion je crois.
C'était uniquement sur les pages où des commentaires ou des posts pouvaient être envoyés.
aty007
Le 23 août 2015 à 12:57:04 s2ada a écrit :
De même, si vous aviez le même mot de passe sur d'autres sites, nous vous encourageons à en changer sur ces sites également.
Olala cette plaie
Bonjour,
En même temps cela fait partie des sécurités élémentaires, un mot de passe doit être unique (un par site). Tu peux à la limite faire une variante.
Ex : forme principale du mdp : 123456 (le pire mdp du monde certes). Pour jvc le mdp sera 1234567, pour twitter 1234568 etc. Ou 123456-1
-
Sinon, le code qui avait été ajouté ne changeait que le design ou ajoutait/retirait des éléments.
Pour récupérer votre mdp il aurait fallu :
- Qu'il apparaisse en clair dans le code html du site, ce qui est une hérésie ce qui n'arrive donc jamais
- Et qu'en plus le script envoie également les données vers un autre site (parce que trouver un mdp c'est cool, mais si on peut pas le récupérer...)
- Ou alors créer un script de "keylogger" (enregistrement des touches tapées), mais c'est compliqué et ça se serait vu (et là aussi, fallait envoyer les données vers un autre site). Et en plus il aurait fallu que le script soit sur la page de connexion pour qu'il soit effectif, ce qui n'était pas le cas
Donc voilà, ne sombrez pas dans la paranoia ^^
raptor_muslim
Je doute qu'ils aient pu faire du cross domain, donc envoyer des informations autre part... 
Ils ne peuvent pas récupérer des informations du cache avec le javascript.
Ils auraient pu éventuellement envoyer des messages automatiques avec les pseudos des mecs.
s2ada
Le 23 août 2015 à 12:59:53 Therealsorrow a écrit :
Le 23 août 2015 à 12:57:04 s2ada a écrit :
De même, si vous aviez le même mot de passe sur d'autres sites, nous vous encourageons à en changer sur ces sites également.
Olala cette plaie
Celui qui a le même mdp sur + de 100 sites va s'amuser
Toi t'as vraiment un mot de passe par site? Moi j'en ai quelques uns mais ça tourne quoi, j'ai pas assez de mémoire pour retenir 420 mots de passe
marinboss
Ouais moi mes MDP me font plusieurs sites/comptes
marinboss
Mes MDP me font plusieurs comptes moi aussi