Mail dans base de données qui a fuité

[Kelemeny]

Hello,

Comme vous le savez sans doute, Pokébip a été victime d'un piratage l'an dernier, où de nombreuses informations se sont retrouvées au mains de hackers.

Récemment, la base de données est a été rendue "publique". Le chercheur en sécurité Troy Hunt, un grand ponte en ce qui concerne les sites piratés, a rajouté la liste des 657.000 adresses mail des utilisateurs affectés sur Have I Been Pwned?, qui est également une référence en la matière.

Il se trouve que mon adresse est dans la liste.
Problème : je n'ai pas souvenir de m'être inscrit sur Pokébip. Je ne suis pas du tout de l'univers Pokémon (j'ai à peine utilisé Pokémon Go, c'est dire ), je n'aurai donc en théorie aucun intérêt à mettre les pieds ici, si vous voyez ce que je veux dire ?
J'ai tenté de me connecter avec tous les pseudos/mots de passe que j'utilisais jusqu'alors, sans succès. Le formulaire de création de compte indique également que l'adresse n'est pas utilisée. Je ne comprends pas vraiment comment mon adresse a pu se retrouver dans cette base de données. Un ami, dans la même situation que moi, est également concerné. Il y aurait-il eu, par exemple, une fusion avec un autre site à une époque ? Je ne parviens pas non plus à retrouver de quelconque mail concernant Pokébip, et pourtant je conserve. Bref, quelqu'un aurait une piste ?

Je tiens à rajouter que je pose la question par pure curiosité. J'utilise un gestionnaire de MdP (pour avoir un MdP différent par site), et c'est loin d'être la première fois qu'un de mes MdP se retrouve dans la nature. Cela ne me dérange pas vraiment.
Par contre, si vous étiez inscrit avant août 2015 et que le mot de passe que vous utilisiez sur Pokébip à l'époque est toujours d'usage sur d'autres sites web, maintenant que la base commence à circuler à plus grande échelle, c'est l'heure de changer vos MdP : LastFM, 46 millions de comptes, utilisait le même système de stockage de mots de passe qu'ici, et il n'a fallu que 48h pour avoir les vrais mots de passe de 44 millions d'entre eux.

Pour info, 32% des mails dans la base de Pokébip étaient déjà dans une base d'un autre site piraté auparavant (LinkedIn, Adobe, MySpace, Dropbox, tumblr ...).

[Yuu]

La table user qui a fuité est la BDD du site, pas celle du forum (j'avais vérif à l'époque vu que j'avais deux pseudo différents). Du coup, tu devras essayer la récupération de compte sur le site. Il n'y a pas eu de fusion avec un autre site si mes souvenirs sont bons. Et pour compléter, je doute que bip envoie un mail pour activer un compte. Du coup, à moins d'avoir oublier son mdp ou avoir suivi des sujets (pour le forum), tu ne reçois pas de mails. Après, je t'invite à MP un admin (Reap / Walker surtout) avec ton mail pour qu'il te dise les infos sur ton compte.

Dans les faits, à partir du moment où ton site est hack, tu dois considérer que son contenu est publique. Plusieurs personnes ont pu s'en procurer une copie à l'époque (j'ai toujours la mienne quelque part iirc). Il y a eu une news et des messages sur le forum pour prévenir les gens de changer leur mdp par sécurité. A partir de là, si les gens ne changent pas leur mdp alors que la bdd a fuité et ont toujours le même mot de passe un an après, c'est pas la faute de bip.

Au niveau du hachage, md5 c'est de la merde, et depuis au moins 2006. La vitesse pour craquer cela maintenant est risible. Je me demande si une rainbow table complète n'a pas été faite pour md5. Cependant, bip avait viré le md5 (les nouveaux mdp utilisent un nouveau truc) depuis un hack en 2011 ou 2012 je ne sais plus. Du coup un mot de passe "récent" est moins en danger.

[Reapious]

J'ai vérifié, en effet ton mail apparait bien sur haveibeenpwned, par contre après un rapide passage sur mysql workbench j'ai aucune entrée avec ton mail à part ton compte créé aujourd'hui ._·

[Kelemeny]

Merci pour les infos, et la vérification.

par contre après un rapide passage sur mysql workbench j'ai aucune entrée avec ton mail à part ton compte créé aujourd'hui

Étrange. J'aurai bien pensé à quelqu'un ayant créé un compte avec des adresses "bidon" (dont la mienne), mais si ce n'est pas le cas, je ne vois pas pourquoi je me retrouve dans le leak. Je vais tenter de me renseigner ...

[Reapious]

Je continue à chercher de mon côté, j'ai quelques nouveaux éléments mais c'est ultra chelou, t'aurais un skype pour qu'on puisse en discuter directement ?