France

2792 readers

1 users here now

Hop, [email protected] c'est finit, merci de migrer sur [email protected]

founded 1 year ago

MODERATORS

[email protected]

Lemmy.world et d’autres instances hackées (sh.itjust.works)

submitted 1 year ago* (last edited 1 year ago) by [email protected] to c/[email protected]

15 comments fedilink hide all child comments

Bon bah, ce qui devait arriver arriva. Plusieurs instances ont été victimes de hack via une injection XSS et vol d’identifiant des admins.

all 16 comments

sorted by: hot top controversial new old

[–] [email protected] 11 points 1 year ago (1 children)

Pour les non-techniciens (même si je doute qu'il y ait beaucoup de non-techos sur Lemmy...) :

Le hackeur a pu ajouter un code sur toutes les pages web des instances. Ex. la page http://lemmy.world lorsqu'on y accède depuis son navigateur web
Lorsqu'on accède aux site, le code exfiltre les cookies qui conservent notre connexion avec notre identifiant. Ça permet au hacker de se connecter à notre place.

Si vous avez accéder à Lemmy.world ou une autre instance compromise directement depuis votre navigateur, depuis hier, il est possible que votre compte ait été compromis.

Il suffit de changer de mot de passe. Voire même simplement de vous déloguer et reloguer (ce sont des "tokens" qui sont stockés dans les cookies, pas les mots de passe).

Si vous ne vous êtes connecté qu'avec une application tierce Android/iOS, il n'y a pas de raison que le code JavaScript ait été exécuté (je ne connais pas l'implémentation de chaque app, mais par exemple, Memmy explique que c'est impossible dans leur cas).

Avec une application web type wefwef, je ne sais pas. C'est possible que vous soyez concerné.

[–] [email protected] 4 points 1 year ago (2 children)

Les applications web portables comme wefwef sont vulnérables, fondamentalement c'est comme si tu ouvrais un navigateur juste l'interface est cachée.

[–] [email protected] 4 points 1 year ago

Bin ça dépend à quel point l'application web met en forme le contenu, ce qui aurait comme conséquence de faire un sanitize. Mais à priori, il y a beaucoup plus de chances pour qu'elle soit vulnérable, plutôt qu'elle ne le soit pas.

[–] [email protected] 1 points 1 year ago

Bon point

[–] [email protected] 9 points 1 year ago

Il fallait bien que ça arrive. Ça fait caguer mais ça prouve aussi que Lemmy prend de l'ampleur.

Ceci doit aussi être un rappel de ne pas utiliser les mêmes identifiants partout, mais bien des identifiants différents à chaque fois.

[–] [email protected] 3 points 1 year ago

Réponse des admins : https://lemmy.world/post/1290412

De mon côté, je viens de changer mon mot de passe. Un rappel à tous d'utiliser un gestionnaire de mot de passe (Bitwarden est souvent recommandé), ça se fait en trois clics.

[–] [email protected] 3 points 1 year ago (2 children)

Mot de passe modifié.

[–] [email protected] 1 points 1 year ago

A noter qu'on est peut-être encore vulnérables sur jlailu, voir mon autre commentaire

[–] [email protected] 2 points 1 year ago (1 children)

Je ne suis pas sur de comprendre si c'est fixé ou pas. D'après ce que j'ai compris, le problème vient du vol de cookies, donc les admin les ont réinitialisés. Mais rien n'empèche le hackeur de recommencer tant que le problème n'est pas fixé? Ou alors les devs sont au taquet et c'est déjà réparé?

[–] [email protected] 3 points 1 year ago (1 children)

Vu la réponse des admins sur Lemmyworld (le lien est dans un autre commentaire), ils ont résolu le problème localement. D'autres instances pourraient encore être affectées par contre

[–] [email protected] 2 points 1 year ago (1 children)

Donc on quitte pas lemmy.world tant que c'est pas réparé, merci !

[–] [email protected] 1 points 1 year ago

De toute façon, quitter LW aujourd'hui ça me semble compliqué

[–] [email protected] 2 points 1 year ago

Pour ceux qui sont sur jlailu, j'ai ping notre admin ici : https://jlai.lu/post/42504

[–] [email protected] 1 points 1 year ago

Merci pour l'info !