RDP et attaque pass-the-hash

Se connecter via RDP sur une machine juste à l’aide d’un hash récupéré sur le système et sans connaissance du mot de passe c’est désormais possible grace à une nouvelle fonctionnalité de RDP 8.1. Une version modifiée de l’outil open-source FreeRDP permet d’exploiter cette fonction facilement.

Ashley Madison : une première analyse des mots de passe

Avec la nouvelle avancée pour casser les mots de passe d’Ashley Madison, les statistiques et analyses des mots de passe utilisés se suivent. ArsTechnica nous livre ainsi un top 100 très proche de ce dont on a l’habitude (mis à part des spécificités comme fuckme et bigdick lol) ainsi qu’une analyse sur les caractères utilisés … Continuer la lecture de Ashley Madison : une première analyse des mots de passe 

MySQL/MariaDB sur Ubuntu : Password check FAIL

Une vulnérabilité importante a été trouvée dans l’implémentation Ubuntu des serveurs MySQL et MariaDB. Cette faille permet de se loguer avec un login utilisateur connu quelque soit le mot de passe soumit. Il suffit de répéter des tentatives de connexion jusqu’à ce que le login réussisse. Comment c’est possible ? Et bien la vérification du … Continuer la lecture de MySQL/MariaDB sur Ubuntu : Password check FAIL 

Leak des adresses IPs chez ImageShack

Alors que la sécurité du site ImageShack.us était tournée au ridicule dans un ezine récent, un internaute s’est penché sur les scripts leakés de ce service d’hébergement et a découvert comment obtenir l’adresse IP de la personne à l’origine d’un upload sur ce service… Bref une totale dé-anonymisation de ce service sans passer par la … Continuer la lecture de Leak des adresses IPs chez ImageShack 

Anonymous : 90.000 accounts leakés dans le hack de Booz Allen Hamilton

Via TheEpocTimes, ArsTechnica : Dans le cadre de l’opération AntiSec, le groupe Anonymous s’est attaquée à l’entreprise Booz Allen Hamilton [1]. Le groupe a mis la main sur une base de données de 90.000 comptes emails de militaires avec username + hash SHA-1 (d’après ArsTechnica) du password. Dans l’annonce du fichier torrent mis à disposition … Continuer la lecture de Anonymous : 90.000 accounts leakés dans le hack de Booz Allen Hamilton 

DropBox dans la tourmente

Via Wired : Après les problèmes d’authentification, c’est la confidentialité des données stockées sur les serveurs de DropBox qui est remise en question. Tout est parti d’un blog qui pointe du doigt le principe de dé-duplication. En fait quand vous souhaitez envoyer un fichier vers DropBox, un hash de votre fichier est d’abord calculé et … Continuer la lecture de DropBox dans la tourmente