Reprise du message précédent :
Appelez le relais en question mais surtout le commissariat de Champigny.

Qd j'avais eu chronopost au téléphone vendredi ils m'ont dit que le colis allait revenir a leur entrepot du coup comme ca lundi je l'aurais recup  
Mais je viens de check le numéro d'envoi et c'est marqué qu'il est au relais depuis vendredi 10h ..  
 
Putain c'pas possible ce genre de chose  

Les relais sont vraiment tout près d'une gare RER. Si ça se trouve, le mec habite n'importe où sur la ligne, voire utilise la ligne pour aller au taf. Ca brasse large...

Je pense aussi que c'est pas une fuite / attaque sur hfr, j'ai du mal à croire qu'il y ait une faille sur les serveurs hfr/doctissimo ou des mots de passe de forum en clair, vous etes un peu trop compétents/sensibilisés pour faire une bdd de mots de passe en clair, ou chiffrés mais non salés, ou pour pas mettre les softs a jour.

Je me doute qu'il s'agit probablement de comptes mails hackés, il y en a eu un certain nombre ces dernieres années (yahoo et orange typiquement). J'ai plein de questions mais je suppose que s'il y a une enquete judiciaire (ou si une est prévue) y répondre risque + de gérer qu'autre chose.

Sans que ca soit en conflit avec une enquete, et si/quand vous saurez d'ou ca vient, ca serait sympa de faire un gros sticky pour dire "utilisateurs du fournisseur de mails xxxxx, changez vos mots de passe" (ou si hfr a effectivement été victime d'une attaque, de changer nos mdp tout court)

Bonne chance dans la traque.

C’est du md5 simple.

Impossible d'avoir le relais au téléphone pourtant c'est marqué que c'est ouvert

Salut

Perso ai changer le MDP,vu qu il traînait en plus sur une liste hacké d un forum de crypto.

Marc,peut être envisager de changer tous les MDP des utilisateurs? Si c est possible?
Quoique si l adresse renseignée est pas bonne ça vas coincé

Reste le sticky .

En tout cas tu /vous avez bien géré les gars

+1 pour le stick de ce thread (pour quelques temps au moins)
 

drap,

Concernant les chances d'une réelle intervention des forces de l'ordre... si c'est de l'arnaque de petite échelle un minimum démarquée votre plainte servira juste à la trace écrite pour vos assurances et les stats (politique du chiffre toussa)

Ou au pire il aura sa GAV + rappel à la loi pour sa 516414564874ieme fois avec une affaire de résolue aux yeux des Ministères de l'Intérieur et de la Justice (so frenchy).

Merci aux modos de leur réactivité, un check est-il malgré tout prévu pour s'assurer de la non compromission des serveurs ?

Peu importe .... il ne faut pas laisser tout faire sans rien dire.

Totalement d’accord.

 
C'est pas une faille qu'il soit juste en MD5 simple? Il doit malheureusement encore avoir des personnes ici avec des mots de passes simples qui sont dans un dictionnaire avec leur correspondance en md5 donc si intrusion il y a eu, gros problème en vu.

Hello,
 
Désolé a tous ceux qui ont perdu dans l'histoire
 
@Marc, je crois qu'une valise ATTENTION ESCROQUERIE serait pas mal, j'avais pas du tout remarqué le topic j'ai cliqué par hasard
 
Merci

ça fait un bon moment que le md5 n'est plus sûr effectivement

 
Ba il est pas sûr à partir du moment où les gens ont mis des mots de passes simple qu'on retrouve dans des bibliothèques md5 mais à partir du moment où tu composes ton mdp avec plusieurs bribes de mots ou de noms c'est plus compliqué.  
 
Va trouver la correspondance md5 de "A5dYhOwB3df" dans une bibliothèque -> quasi nul.

Disons qu'un bon petit SHA512 serait un peu plus rassurant que du "basique (mais léger...) MD5", cependant attaquer la BDD HFR nécessiterait énormément de temps et de matériels, y a plus rentable  

 
Fin faut pas non plus rendre le forum d'une lenteur infernale de toute facon le problème serait le même avec un SHA512. Une bibliothèque avec les mots associés à un SHA512 pourra toujours retrouver ton mdp si le SHA dérobé est dans celle-ci.
 
Comme dis plus haut la technique la plus simple serait de rajouter SALT personne saura ce qui à été rajouté à ton mdp à condition que se soit aussi crypté et les bibliothèques ne fonctionneront plus.

Sympa cette méthode, je ne l'avais pas appliqué jusque là, je vais m'y mettre   Merci de cette info !

J'ai rappellé Chronopoost ils m'ont dit que eux n'ont plus arrivait pas a  avoir le relais colis au téléphone ..
 
Mais chronpost avait bien fait la démarche pour faire revenir mon colis donc la ils vont tenter de le récupérer ou sinon ouvrir une procédure je sais pas quoi !  
 
Donc l'arnaqueur est peut être de mèche avec le relais colis ?

C'est même certain pour moi ! sans vouloir faire de procès d'intention.

Oui mais qui va mettre un mdp archi secure sur hfr bah pas tellement de monde finalement

Merci Marc , je viens de changer mon mot de passe ....

 
Avant cette histoire : pas grand monde
 
Après cette histoire : ceux qui auront vu le topic    

pour ma part,
malgré ma demande d'annulation d'envoi faite a mondial relay vendredi matin,
le colis arrive au centre de chambéry vendredi a 19h et au lieu de faire demi tour,
le colis est ce matin a orléans et continue sa route vers le point relais de mr l'escroc,
j'ai encore appeler mondial relay ce matin et a part me dire que si j'ai pas de nouvelle d'ici 48h, il faut que je les rappel,
ca a l'air de piétiner....

je ne pense pas que ça serve à quelque chose de changer de mpd en fait ^^

Chronopost vient de me rappeler a l'instant ils ont pas réussis a avoir le relais au téléphone ..
Ils ont donc fait un appelle a la société des relais colis pour signaler ca et ils vont envoyer quelqu'un récupérer mon colis au relais  
 

 
le principe de précaution ?  

 
J'avais déja vu que mon mot de passe (très simple) utilisé pour HFR faisait partie des listes de mdp leakés.
Et je m'en foutais parceque c'est HFR, quel risque ? Il n'y a pas de données perso dedans etc..OSEF.
 
Mais je n'avais pas pensé à ce genre de trucs. Donc oui, je viens de le changer aussi.

 
Rassurant de voir ce genre de post quand on voit la grosse réput du site ..  
 
J'reviendrais pas vendre du matos ici c'est bien sur ca

 
T'as rien compris.
 
On dit pas que HFR s'est fait hacker.
 
Mais plein d'autre site se sont fait hacker eux, et les login/mdp trainent un peu partout sur le web.
 
Pour peu que tu aies utilise ton mdp hfr sur un autre forum qui lui a été hacké, alors c'est sur es listes.

Au risque d'être un peu excessif, HFR ne devrait pas forcer un reset des mot de passe pour tous les utilisateurs ? Sachant qu'il y a des gens avec des comptes vieux de quasiment 20ans... Ca ferait certainement pas de mal

En quel honneur ? Perso je ne veux pas changer de MDP.

Forcer non... chacun est responsable de son compte

Chronopost a réussis a récupérer mon colis .. depuis vendredi au relais j'pensais que c'était mort mais non
 

Oui mais quand un compte se fait pirater on voit les conséquences que ça peut avoir sur les autres utilisateurs. Je comprends pas comment tu peux dire ça justement dans ce thread

Personnellement je trouverai pas ça déconnant de mettre un warning bien visible en haut de page pour indiquer aux utilisateurs qu'il est vivement recommandé de changer son mdp.

 
je suis content pour toi,
 
moi j'ai le palpitant a fond, je suis stressé d'attendre...

La flemme...
J'espère qu'il n'y aura pas trop de casse...

 
 
+1

Mais du coup est-ce que quelqu'un (toi ou Joce) va modifier ça ou les choses vont rester en l'état? Parce que si on doit changer de mot de passe régulièrement ça va devenir relou faut dire