Cinq millions d’adresses Gmail piratées, et la vôtre ?

pour moi ce site est une arnaque c est gros comme une maison.

Bien que titulaire d'un Bac +3 en informatique, j'en connais les dérives, ce n'est pas pour autant que je deviens hyper retissant à l'usage d'internet. Surtout que si ils utilisent cette adresse pour m'envoyer des spams, je les bloquerai, pas plus compliqué que ça.

Qu'un site d'information propose ce site comme référence est un problème. Que vous soyez complètement à la masse et que répandre vos infos à travers le net ne vous dérange pas, soit. Mais certaines personnes aiment garder leurs infos et leurs sécurité. Entre critiquer et avoir du bon sens il y a tout un monde. Ici ce n'est pas une alternative, c'est un piège.

chez moi que j'ai une compte gmail mais aucun piraté :) ouf j'ai le mot passe long identification :)

C'est donc pour ça que mon Facebook m'a signalé que quelqu'un avait essayé de se connecter à mon compte, étant donné que l'ancien mdp google était exactement le même que sur Facebook, faut que je fasse gaffe moi

je viens d'avoir 1 mail de google ID me demandant si mon compte mail est actif, bien sûr ayant été déjà piraté je n'y répond pas mais je ne retrouve pas le site de gmail pour leur signaler ce fait M.Cl.P

aufait il me dit que mon email est leaké et que les deux premiers caractères du mdp sont "02" ce qui n'est pas vrai...

J'ai une adresse secondaire pour ça.

Non, seulement de la logique et du bon sens.

Tu as vu la vidéo dbz stop motion avec trunk ?

Mouais mon compte gmail est en double auth donc meme en choppant mon mot de passe ils n'irons pas loin, et comme je ne l'utilise pas sur des sites elle n'a evidement pas été collectée... sinon j'utilise un catchall sur un domaine et donc un mail pour chaque usage donc meme le mec qui met en lien une de mes adresses mail avec un mot de passe il ne pourra aller au mieux que sur le site ou il l'a pris :s bref je suis pas parano mais quelques precautions suffisent comme avoir 3 mots de passe un faible pour les sites sans importance, un moyen pour les sites un peu plus sensibles (mail etc...) et un fort pour les applications critiques (banque paiement en ligne etc...)

moralité tu doit jamais donner ton mail sur le net ^^ (d'ailleurs personne t'as prouvé par a + b que c'etait legitime de laisser ton mail pour tes commentaires :p

Mais les informations et confirmation de compte, pour un hacker ce sont pas des info inutile

Chaud d'utiliser une mot de passe différent pour chaque site. Personnellement, j'en ai 4-5 que j'utiliser sur tous les sites.

On peut aussi imaginer que cela ne s'applique pas uniquement à Gmail?

Changer son mot de passe régulièrement (tous les trois mois, c'est bien) est une bonne façon d'éviter ce genre de soucis. Mais la méthode la plus sûre consiste à activer l'authentification en deux étapes!!!

c'est exactement ça, mon autre post le démontre, mon adresse est leacké, mais avec un mauvais mdp que je n'utilise plus depuis 2011 ;)

c'est bizarre, mon adresse gmail y est, quand j'ai testé j'ai reconnu les 2 premières lettres d'un mot de passe que j'utilise, sauf que le mot de passe de CE compte n'utilise plus ces lettres depuis 2011...

C'est bien ça qui est fait, l'emprunt md5 est stockée, comme quoi tu est quand même renseigné sur le sujet :) Enfin pour tous les sites un minimum sérieux ^^ D'ailleurs un site n'est pas censé avoir les mots de passe en clair, donc si un site t'envoie ID/mdp par mail après ton inscription, y a de forte chances qu'ils soient stockés en clair, pas bon :S Aujourd'hui on a même l'habitude d'ajouter un salt lorsqu'on hash un mot de passe pour éviter les attaques par rainbow table ;)

Non, aucun risque puisque le site propose d'entrer une wildcard (monadresse@gmail.com peut être recherchée en tapant monadre***@gmail.com par exemple)

Le coup du wildcard est en effet une bonne idée ;-)

Ok, je comprends mieux, je pensais effectivement que ca avait ete vole chez qqun.

ce qui est irresponsable c'est de continuer de poster un tel lien quand tout le monde s'affole pour le faire dégager depuis hier.

Mesure de précaution. Statistiquement, tu aura toujours une majorité de monde pour aller renseigner une adresse précise plutôt qu'avec des wildcards. Si ce site a une but de récupération d'email, c'est très bien trouvé de la part des créateurs de ce site comme astuce pour paraître plus sympathiques.

cette base est un amalgame d'adresses/mdp récupérées sur une durée étalée par de nombreuses campagnes de phishing. Il ne s'agit pas d'une BDD directement issue d'une entreprise piratée, mais constituée par des pirates (qui n'en ont sans doute rien à s'couer de chiffrer des mots de passe)

Question peut-etre bete, je n'y connais pas grand chose en securite, mais comment se fait-il que des mots de passe soit stockes en clair dans une database!? Pourquoi ce n'est pas la version encryptee (MD5) qui est stockee. Quand on se log, on rentre un mot de passe, on l'encrypte, et on compare cette version encryptee avec celle dans la database. Du coup, si quelqu'un a acces a la database, il recupere un machin crypte qu'on ne sait pas decrypter. On ne stocke pas en mot de passe en clair dans une pov' base SQL. :(

Une de mes boites gmail est dans la liste, mais le mot de passe lié n'est pas le mot de passe lié à gmail, mais un utilisé sur ces sites la : https://secure.ubi.com https://shop.ubi.com https://authentication-ui.ubi.com http://api.hostinger.fr http://savage2.com Du coup le leak doit venir de la dans mon cas.

pt1 mais vous êtes cons de chez cons chez FRandroid parfois. Vous arrivez avec 3 métros de retard ; sur la toile tout le monde est en train de VIRER ce lien vers ce site dont le nom de domaine a été enregistré quelques jours avant la divulgation de ce leak, et vous, vous mettez les 2 pieds dans le plat. BRA-VO !

C'est ça. Ce ne sont pas les mots de passe gmail qui ont été volés, mais des adresses mail qui seraient ainsi utilisées comme nom d’utilisateur sur des services en ligne. Et si les mots de passe sont valides, ce n’est semble-t-il pas sur les services de Google… sauf si les utilisateurs concernés ont pour habitude de répliquer les mêmes mots de passe sur Internet. D'où une règle simple, un site = un mot de passe.

Tout a fait, les gens ont peur de tout de nos jours, de vrais outragés de la vie et comme dit précédemment, oula on va vous spammer, c'est pas comme si des millions de personnes essayaient de le faire chaque jour. Mais ça c'est le monde de l'informatique, seulement bons à critiquer quand on leur offre des alternatives. N'utilisez plus votre pc si vous avez peur à ce point d'être spammer.

Peut importe le nom, span, piratage de comptes, c'est du pareil au même.

Google, Microsoft, Yahoo, Facebook... Tous ces géants du web ont déjà une solution technique éprouvée pour éviter ce genre de déconvenue. Ça s'appelle un certificat PKI. Ouais, le truc que tout le monde connaît. Il leur faudra combien d'histoires de vol de base de mots de passe pour enfin démocratiser ce mode d'authentification ?! D'autant que si c'est plus compliqué sur PC (un peu), la carte SIM d'un téléphone dispose de tout ce qu'il faut pour l'hébergement sécurisé d'une clé privée. Et sur PC, le lien entre le téléphone authentificateur et la machine pourrait se faire via NFC, la techno avec laquelle tout le monde se tripote mais qui ne propose aujourd'hui rien de révolutionnaire. Bref, ça ne me gênerait pas de raquer 10 ou 20 balles à mon opérateur de téléphonie tous les ans pour disposer ENFIN d'un mode d'authentification fiable qui marcherait à peu près partout sur le web.

Attention, ce site ressemble fortement à une tentative de récupérer un maximum d'adresses mail pour probablement les spammer ou bien essayer de phisher les utilisateurs. En effet, si besoin il y avait, ce serait à Google de créer ce genre de site de vérification. Autre fait étrange, il semblerait que le site "isleaked.com" ait été créé 1 ou 2 jours AVANT la fuite des données (source : http://jameswatt.me/2014/09/10/isleaked-com-registered-2-days-before-gmail-leak-public/). Il ne faut pas non plus oublier que c'est n'est pas une fuite ou une faille dans les serveurs de Google mais qu'il s'agit bien d'une liste d'identifiants accumulés au fil du temps par certaines techniques dont le phishing justement (source : http://www.nextinpact.com/news/89829-mots-passe-gmail-dans-nature-fuite-a-relativiser.htm). Pour ceux qui aiment l'anglais, le lien vers la déclaration officielle de Google à ce sujet: http://googleonlinesecurity.blogspot.be/2014/09/cleaning-up-after-password-dumps.html il y es clairement indiqué que toutes les mesures ont déjà été prises pour sécuriser les comptes. Et que seul 2% des emails présents dans la liste étaient fonctionnels et que les personnes concernées ont déjà été prévenues. Bref, c'est bien ce site qui semble être une arnaque.

J'ai trouvé ton mot de passe : P@RaNo!D ;-)

lol à voir les mot de passe c'est pas étonnant. Moi je deviens presque fou, au travail j'ai 8 mots de passe différents à retenir. Tous avec 1 majuscule et une lettre et 3 doivent être changé aux 3 mois et ne pas reprendre le même "paterne" que les 3 dernières(genre changer la fin pour un 2 au lieu d'un 1) Ensuite viens mes 15 mots de passe différent : PayPal , gmail, gmail scrapt, gmail recherche d'emploi, facebook, 1 pour chacune de mes banques(2), 4 différents pour mes cartes crédits et débits, le code de sécurité du bureau, mot de passe pour l'ordi centrale de la maison. Il m'arrive d'être complètement mélangé que le mot de passe d'un de mes comptes de banque je dois les appelée presque à chaque fois pour les changer. Dire que mon nex ses mots de passe était toute en lieu avec jurassic park. J'ai 4 petit mots de passe que je fusionne pour en faire d'autre. Si quelqu'un réussi à en trouver un, il est vraiment bon.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Un site de confiance en .ru ?? Non vraiment pas. Je vais vite changer mes MP mais surtout pas alimenter leur base.

en même temps vue la tronche des mot de passe : Georges ... lol ...<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

En tout cas, mon mot de passe a réellement été le bon (il y a longtemps)

Comme je dis au pire c'est pour récolter quelques e-mails "vivants" pour du spam donc le "vous êtes irresponsables" me semble un poil exagéré ;-)

moi je change de mot de passe régulièrement donc aucun soucis !! cela a toujours fonctionner comme ça mais y'en a toujours qui s'étonne lol <i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

Et en plus les filtres anti-spam de google sont pas mauvais.

A risque dans le sens ou je mets en doute l'intégrité de ce site qui aurait été créé deux jours avant la révélation de la fuite de mots de passe russes. Ca fait gros pour etre un concour de circonstance.

A risque ? quel risque ? je pense que ce "à risque" est dû à de multiples personnes ayant eu la même réaction que toi et qui n'ont pas vu le coup des 3 étoiles et du coup cette notion de "risque" s'est propagée. Et même s'il n'y avait pas eu les étoiles au pire ils récupèrent quoi ? ton e-mail pour un peu de spam en plus ?

Oui, mais c'est pas ça un site dit "hameçon"...

Ca reste un site denoncer sur tout les forum comme a risque. Et un site en russe ou anglais herberger en france qui "collecte" des adresse mail pour sois disant la chercher (ajouter) a un BDD...sachant que google permet de le faire. Moi je reflechie pas 2 fois.je passe mon chemin.

Ce site n'a fait que rechercher ton e-mail dans une BDD de 5 millions d'e-mails. Tu peux même remplacer jusqu'à 3 caractères par des *.

Vu la récente histoire qu'il y a eu chez Google, je conseil de changer tout les mot de passes de plus de six mois.<i>-------<a href="https://play.google.com/store/apps/details?id=com.frandroid.app">Envoyé depuis l'application FrAndroid pour smartphone</a></i>

T'envoyer du spam.

Et en quoi ça fait de lui un site hameçon ? ...

Faire une recherche dans le fichier des 5 millions d'adresses pour voir si l'adresse y est présente...

la mienne est leakée :) mais avec un MP nul : laurence et ce MP je ne m'en sert que pour des site à la con. Donc ils ont hacké un site bidon. Faut toujours avoir au moins 3 à 4 MP, 1 pour des site sans importance, un pour des sites de moyenne importance => frandroid, ebay... et 1 pour des sites important => paypal....

si tu dis ça et que tu dis rien alors ne dis rien c est mieux !

Vous etes serieux en proposant d'aller sur ce site....vraiment n'importe quoi... En plus google le propose lui meme de verifier... on ce demande si vous verifier vraiment vos sources. Un who.is suffit a s en rendre compte, vous êtes irresponsables sérieux..

Tu donne juste une adresse e mail, pas le mot de passe je vois pas trop ce qu'il peuvent faire avec...

Il vaut mieux utiliser la validation en deux étapes

Ah bon comment tu le sais que ces un site pas très net ?

J'ai ouïe dire que isleaked était un site hameçon... Je dis ça je dis rien..