Le site de poker Bitcoin « Seals With Clubs » piraté, 42 000 mots de passe volés

Le site de poker Bitcoin Seals with Clubs a confirmé que sa base de données avait été compromise, sans toutefois préciser qu'il avait perdu 42 020 mots de passe hachés. Ces hachages avaient été publiés sur un forum environ 24 heures plus tôt et, il va sans dire, ont attiré de nombreuses personnes déterminées à les déchiffrer.

Pour une raison quelconqueSceaux avec massuesLe site utilisait des fonctions de hachage SHA1, pratiquement obsolètes. Même la dernière version du hachage SHA3 n'est pas adaptée aux mots de passe, et il semble que le site ait utilisé du salage cryptographique pour les sécuriser, garantissant ainsi l'utilisation de hachages différents même si deux utilisateurs choisissaient exactement le même mot de passe.

Quoi qu'il en soit, il n'a pas fallu longtemps pour que certains mots de passe, comme « bitcoin1000000 », « sealswithclubs », « 88seals88 » et « pokerseals », soient découverts. Les mots de passe révélés ont rapidement incité les experts en sécurité à établir des liens et à conclure qu'ils provenaient d'utilisateurs de Seals with Clubs.

Mercredi, un utilisateur a publié la base de données de hachages sur un forum de récupération de mots de passe géré par le service commercial de craquage de mots de passe InsidePro. L'utilisateur offrait 20 $ en bitcoins pour chaque ensemble de mille hachages uniques. Il n'a fallu que neuf minutes pour obtenir la première réponse et le premier ensemble de 1 000 hachages. En une journée, environ les deux tiers de la liste ont été déchiffrés, selon les rapports.Ars Technica.

Jeudi, Seals with Clubs était en mode contrôle des dégâts, admettant officiellement la violation et annonçant qu'il avait émis unréinitialisation obligatoire du mot de passeUn message sur son site disait :

Le centre de données que nous utilisions jusqu'en novembre autorisait un accès non autorisé à un serveur de base de données, et notre base de données contenant les identifiants des utilisateurs a probablement été compromise. Les mots de passe ont été salés et hachés pour chaque utilisateur, mais par mesure de sécurité, chaque utilisateur DOIT modifier son mot de passe lors de sa prochaine connexion.

Veuillez le faire dès que possible. Si votre mot de passe Seals a été utilisé à d'autres fins, vous devez également le réinitialiser par mesure de précaution.

Le site a souligné qu'il mettrait en œuvre des mesures de sécurité supplémentaires, notamment l'authentification à deux facteurs et la connexion à partir d'un nombre limité d'adresses IP.

Cela ne résoudra cependant pas un autre problème. Seals with Clubs étant un service exclusivement dédié aux bitcoins, chaque titulaire de compte est un utilisateur de Bitcoin et il est fort probable qu'au moins certains d'entre eux utilisent le même mot de passe sur d'autres plateformes de Bitcoin . Autrement dit, certains utilisateurs pourraient utiliser exactement le même mot de passe sur leurs comptes d'échange ou leurs portefeuilles en ligne.

Quant à Seals with Clubs, il s'agit d'un site relativement petit comparé aux principaux sites de Texas Hold'em. La petite équipe de joueurs de poker à l'origine du site a choisi de rester anonyme et le site a apparemment été lancé après leur licenciement. Nous espérons que le fait de jouer au poker pendant les heures de bureau n'y est pour rien.