cms /!\ LES "HACKERS" DES RETROS /!\

[Chesterfield 48]

Bonjour,

J'ai vus il y a de là 2 heures un compte plutôt important de inshare se faire "hacker" par Snio.

Effectivement, bienvenue en 2017 les joueurs rétro se prennent maintenant pour des hackers

"attention je vais te ddos avec LOIC".

Malheureux de voir la communauté se rabaisser de plus en plus mais bref.

Vous avez sûrement déjà entendus parler ou même assister a un "hack" d'un rétro,

Du genre, comme ici : la personne a le mot de passe et l'email de la victime,

se connecte à son compte et fou le bordel.

Mais, comment cela est-ce possible ?

inshare est sencé être sécurisé etc ?

Comment s'est-il fait hacker ?

Avec la technique de hashing tout simplement.

En quoi ça consiste ?

SITUATION.

Quelqu'un vient puber sur mon rétro, je me dis donc de faire de même et d'aller sur son rétro.

Je me crée donc un compte et par pure mégarde je met le même mot de passe que j'utilise pour mon compte admin

sur mon rétro, sur mon compte youtube/facebook/etc..

Eh bien, c'est finit la personne a toute les informations qu'il lui faut.

Vous allez me dire "mais non, sur ma db je ne vois pas le mot de passe il y a plein de chiffres et de lettres écrit aléatoirement blablabla"

Eh bien non ^^ Certaine personne arrivent à désactiver le hashing de leur cms (généralement du mdp5/shai1)

Et décrypte soit avec un script installé dans une commande soit sur un site de décryptage en ligne

(il en existe plein malheureusement).

Pour avoir accès à cette image, merci de vous connecter.

Voilà pourquoi il est PRIMORDIAL de ne pas utiliser les même mot de passe.

Malgré le fait que beaucoup d'entres vous connaissent cette technique, il y en a toujours un qui se fait avoir.

Mieux faut prévenir que guérir....

 

 

Ps : je savais pas ou catégoriser ce topic.

 

 

[Monde 69]

Snio est qu'un petit enfant immature ^^

[Chesterfield 48]

D'accord avec toi, c'est à cause des gens comme lui que la communauté est pourrie.

[Chabi 11]

Snio est une grosse merde

euh caca pardon.

[Solife 1 348]

C'est pour ça que sur les nouveaux rétros, je met toujours 123456 en mot de passe, les gens enlève soit le cryptage des mdp, soit ils décryptent. 

[Solife 1 348]

il y a 2 minutes, Kurumi.Dev a dit :

^^ oui, effectivement il enléve le cryptage , sa me rapelle l'histoire de Jabbo RP qui avais pas crypté leur mot de passe, il disais on avais oublier, mais Jabbo RP un grand rp du genre, me doute c'est bien faux et je pense eu même son fait avoir ^^

 

après si c'est crypté des mot de passe difficile on les trouves pas, et encore faut que le cryptage existe bel et bien dans la base MD5. ^^

Je sais y'a des personne qui utilise encore le MD5.. ^^ , autant prendre le SHA1 cest bien mieux je pense

Oui j'avais entendu parler de cette histoire de Jrp il y a 2 ans au moins je sais plus 

[Arwantys 643]

De toute façon, tous les "hack" de rétro sont soit que l'admin à donné le ftp, soit il a trahi, rien de plus.

[Narzo 759]

Il y a 2 heures, Kurumi.Dev a dit :

^^ oui, effectivement il enléve le cryptage , sa me rapelle l'histoire de Jabbo RP qui avais pas crypté leur mot de passe, il disais on avais oublier, mais Jabbo RP un grand rp du genre, me doute c'est bien faux et je pense eu même son fait avoir ^^

 

après si c'est crypté des mot de passe difficile on les trouves pas, et encore faut que le cryptage existe bel et bien dans la base MD5. ^^

Je sais y'a des personne qui utilise encore le MD5.. ^^ , autant prendre le SHA1 cest bien mieux je pense

Le sha-1 à mes yeux c'est le plus vulnérable.

Le MD5 seul c'est pas terrible  

[Arwantys 643]

il y a 10 minutes, Thomas a dit :

Le sha-1 à mes yeux c'est le plus vulnérable.

Le MD5 seul c'est pas terrible  

Il faut mélanger tout et c'est parfait

[Chesterfield 48]

Il y a 1 heure, Thomas a dit :

Le sha-1 à mes yeux c'est le plus vulnérable.

Le MD5 seul c'est pas terrible  

 

La plupart des rétro's on ces hash's là.

Suivant son CMS on peut très bien le désactiver dans le php en 2 secondes de puis cette ligne ou simplement voir quel type de hash on a.

 

$bdd->exec("UPDATE users SET password = '".$md5."' WHERE username = '".$User->username."' and password = '".$mdp5actuel."'") or die(mysql_error());
$message     = "Profil actualité" and $type='success';

[Invité CompteASupprimé]

Tient et si je parlais de ce co* de Snio qui a hacker mon compte, il m'a gonflé...

[Luxury Jared 44]

Message suprimer xD

 

Modifié le 12 avril 2017 par Luxury.Dev

[Luxury Jared 44]

Des comptes de habbo dev se faire hacker tu te trompe je pense , 

je pense que la personne et passer sur un iplogger ^^

[Narzo 759]

Il y a 5 heures, Emilio a dit :

 

La plupart des rétro's on ces hash's là.

Suivant son CMS on peut très bien le désactiver dans le php en 2 secondes de puis cette ligne ou simplement voir quel type de hash on a.

 

$bdd->exec("UPDATE users SET password = '".$md5."' WHERE username = '".$User->username."' and password = '".$mdp5actuel."'") or die(mysql_error());
$message     = "Profil actualité" and $type='success';

Oui la plupart sont en sha1 et quelques uns en MD5 mais il n'y a même pas de salt donc c'est assez facile à décrypter

[Narzo 759]

Il y a 7 heures, MathisL a dit :

Il faut mélanger tout et c'est parfait

Si un jour les mots de passe de inshare se retrouve entre de mauvaise mains, je lui souhaite bon courage pour décrypté au vu de la sécurité 

[Chesterfield 48]

Il y a 1 heure, Luxury.Dev a dit :

Des comptes de habbo dev se faire hacker tu te trompe je pense , 

je pense que la personne et passer sur un iplogger ^^

 

Avec un ip tu sais rien faire de très spécial hein, moi il suffit de redémarrer ma box et mon ip change donc bon...

De plus avec un ip tu peux seulement avoir un géocalisation de la personne et pas très précise en plus.

Donc tu peux pas hacker quelqu'un avec son ip, tu peux le ddos mais bon ça fait asser lamerZ y a que les >15 ans qui font ça :')

 

il y a 34 minutes, Thomas a dit :

Oui la plupart sont en sha1 et quelques uns en MD5 mais il n'y a même pas de salt donc c'est assez facile à décrypter

 

Voilà pourquoi je ne fais pas confiance aux nouveaux rétro's et que je met tout le temps un mot de passe random. ^^

[Arwantys 643]

Il y a 2 heures, Thomas a dit :

Si un jour les mots de passe de inshare se retrouve entre de mauvaise mains, je lui souhaite bon courage pour décrypté au vu de la sécurité 

Ta mélangé combien de cryptage ?  

[Narzo 759]

il y a 2 minutes, MathisL a dit :

Ta mélangé combien de cryptage ?  

T'inquiète pas c'est crypté et fractionné en 3 parties 

[Chesterfield 48]

Le 11/04/2017 à 22:21, Thomas a dit :

T'inquiète pas c'est crypté et fractionné en 3 parties 

 

De toute façon que ce soit crypté et re crypté, les seuls personnes qui pourraient utiliser le hashing à mauvais escient seraient celle qui on directement accès à la bdd donc l'admin du site (Ne te sens pas viser hein  ) .

Sauf si par malheur ton adresse Email se fait BruteForce ou que quelqu'un d'autre que toi a l'accès mysql décide de te faire un sales coup et de partager les dox de inshare.fr ça ne sert à rien de crypté 1000 fois si l'admin n'est pas un salop  et qu'il ne compte pas faire de mauvaise chose