ADSL-BC

[Yamato]

Bonjour,

... Question, les mdp sembles ceux d'origine, donc si on change son mdp comme il possède la liste depuis un certains temps aucun problèmes alors ?

En supposant qu'il les a déjà tous et qu'il ne continue pas sa quête, par sécurité, tu peux toujours changer ton mot de passe mais tant qu'il n'a pas été divilgué et remplacé ensuite par Bgc, il n'est pas nécessaire d'effectuer cette opération.

[MisterX]

Hello,

Avec des SI on refait le monde. Alors j'en lance un aussi de SI

Et si Vendetta n'était autre que Belgacom et ainsi faire de la pub autour du quotas qui pourrait devenir illimité en décembre ?

Bien à vous

[vax]

Via le WAN ce n'est pas impossible : ce ne serait pas le premier routeur qui a une faille à ce niveau (peut-être à condition qu'il soit configuré d'une certaine façon en plus).

[TC]

Tu avoueras aussi que pour hacker 500 BBox2 il faut :

1) Ne rien avoir à foutre le mois dernier
2) Etre certain que ce sont des BBox2
3) Avoir une bonne voiture et beaucoup de temps à perdre

Je n'y crois pas trop.

Si tu veux les attaquer via le wifi... sinon pourquoi te balader en voiture?

Si elles ont été hackées via l'adresse WAN ou pire, via l'adresse privée 10.x.x.x qui permet les mises à jour firmware automatisées, c'est grave.
J'en reviens à l'idée d'un membre du personnel évincé, ou de complicité interne.

une adresse 10.XXX est comme tu dis privée. Il n'est donc pas possible d'y accéder par une adresse publique (il faut donc établir un VPN).

[apn]

Tu avoueras aussi que pour hacker 500 BBox2 il faut :

1) Ne rien avoir à foutre le mois dernier
2) Etre certain que ce sont des BBox2
3) Avoir une bonne voiture et beaucoup de temps à perdre

Je n'y crois pas trop.

Si tu veux les attaquer via le wifi... sinon pourquoi te balader en voiture?

Si elles ont été hackées via l'adresse WAN ou pire, via l'adresse privée 10.x.x.x qui permet les mises à jour firmware automatisées, c'est grave.
J'en reviens à l'idée d'un membre du personnel évincé, ou de complicité interne.

une adresse 10.XXX est comme tu dis privée. Il n'est donc pas possible d'y accéder par une adresse publique (il faut donc établir un VPN).

Ou utiliser un autre VP/VC ATM ;-)

[Lecter H]

Bonjour je suis un nouveau sur votre forum et j'y suis avec l'affaire Vendetta, même si je sens que je vais m'y plaire ici ^^ Sinon je viens d'entendre à la radio que d'après Belgacom la liste n'est restée en ligne qu'une dizaine de minutes, ors elle a sans doute été postée vers minuits, censurée vers 1h24. Ors les robots de chez Google sont passés vers le 27 oct 2009 00:22:37 GMT vu que c'est cette version avec les logins/mdp qui était encore en ligne il y'a qq minutes. Simple mise au point désolé si elle a déjà été faite.

Question, les mdp sembles ceux d'origine, donc si on change son mdp comme il possède la liste depuis un certains temps aucun problèmes alors ?

Oui, changer le mot de passe de son login AUJOURD'HUI est une opération peut-être inutile mais peut-être aussi prudente. En effet, si dans une semaine une nouvelle liste devrait sortir avec ton compte et ton password en clair mais comme il était debut septembre ou début octobre, cela n'aurait aucun impact sur ta sécurité puisque par prudence tu l'aurais changé entretemps. Dans le doute, on ne peut qu'encourager ce type de démarche.

[TC]

Bonjour je suis un nouveau sur votre forum et j'y suis avec l'affaire Vendetta, même si je sens que je vais m'y plaire ici ^^ Sinon je viens d'entendre à la radio que d'après Belgacom la liste n'est restée en ligne qu'une dizaine de minutes, ors elle a sans doute été postée vers minuits, censurée vers 1h24. Ors les robots de chez Google sont passés vers le 27 oct 2009 00:22:37 GMT vu que c'est cette version avec les logins/mdp qui était encore en ligne il y'a qq minutes. Simple mise au point désolé si elle a déjà été faite.

Question, les mdp sembles ceux d'origine, donc si on change son mdp comme il possède la liste depuis un certains temps aucun problèmes alors ?

Oui, changer le mot de passe de son login AUJOURD'HUI est une opération peut-être inutile mais peut-être aussi prudente. En effet, si dans une semaine une nouvelle liste devrait sortir avec ton compte et ton password en clair mais comme il était debut septembre ou début octobre, cela n'aurait aucun impact sur ta sécurité puisque par prudence tu l'aurais changé entretemps. Dans le doute, on ne peut qu'encourager ce type de démarche.

Il ne faut pas non plus etre paranoiaque...L'utilisateur ne risque rien. On ne saurait pas accéder à ses données via les listes diffusées. Au pire, on lui pique quelques gigas de quota...
Son utilisateur/mdp étant communiqué en clair, sa responsabilité ne peut pas être engagée.

[MisterX]

Bonjour je suis un nouveau sur votre forum et j'y suis avec l'affaire Vendetta, même si je sens que je vais m'y plaire ici ^^ Sinon je viens d'entendre à la radio que d'après Belgacom la liste n'est restée en ligne qu'une dizaine de minutes, ors elle a sans doute été postée vers minuits, censurée vers 1h24. Ors les robots de chez Google sont passés vers le 27 oct 2009 00:22:37 GMT vu que c'est cette version avec les logins/mdp qui était encore en ligne il y'a qq minutes. Simple mise au point désolé si elle a déjà été faite.

Question, les mdp sembles ceux d'origine, donc si on change son mdp comme il possède la liste depuis un certains temps aucun problèmes alors ?

Oui, changer le mot de passe de son login AUJOURD'HUI est une opération peut-être inutile mais peut-être aussi prudente. En effet, si dans une semaine une nouvelle liste devrait sortir avec ton compte et ton password en clair mais comme il était debut septembre ou début octobre, cela n'aurait aucun impact sur ta sécurité puisque par prudence tu l'aurais changé entretemps. Dans le doute, on ne peut qu'encourager ce type de démarche.

Il ne faut pas non plus etre paranoiaque...L'utilisateur ne risque rien. On ne saurait pas accéder à ses données via les listes diffusées. Au pire, on lui pique quelques gigas de quota...
Son utilisateur/mdp étant communiqué en clair, sa responsabilité ne peut pas être engagée.

Sans oublier que via le webmail, on sais lire les mails

Bav

[pyro]

Hop ils viennent d'en parler sur rTL un nsujet entier.

Le porte parole affirme que tous les mots de passes ont été changé et que les utilisateur en sont informé ( ce qui est faux puisqu'on y a encore accès ).

Que seul 1% des clients s'oppose à cette limite ( mais vu ce qu'ils nous raconte concernant les mots de passe changé, j'ai du mal à y croire) et si c'est le cas, pour nous imposer cettte limite si de tout façon 99% des abbonnés ne la dépasserons pas ?
Encore une parole irréfléchier de leur part.

Quand à la computer crime unit, ils sont toujours occupé et n'ont aucune piste de notre amis vendetta

Qui plus est: les journaliste a raconté de belle connerie, comme quoi les 500 n'était qu'un avertissement, or c'est les 30 premiers qui était un aveertissement, bref du beau n'importe quoi ces média !

@ TC : L'utilisateur ne risque rien on est bien d'accord, mais les utilisateurs lambda n'en savent rien, quand on leur dit : On a publié vos login et mot de passe belgacom, je pense pas qu'il vont se " dire c'est rien alz on va rien savoir me faire" mais plutot " et merde, faut que je me protege et tout le bazar" Personnelement, si je vois mon login apparaitre, je ne m'inquieterai en aucun cas, a la limite je changerai mon pass et encore, on verra quel flemme me prends

Ce qui est plus inquiétant, c'est que Belgacom a l'air d'en avoir rien a foutre et continue de raconter n'importe quoi !

[Julie E.]

pour info


extraits des conditions générales (du service internet)

12.3. Le client s’engage à préserver le
caractère secret et confidentiel de son mot
de passe et de son code d’accès et à ne pas
communiquer ces derniers à un tiers. Chaque
utilisation des éléments d’identification aura
lieu sous la seule et entière responsabilité du
client. En cas de perte, de vol ou d’utilisation
frauduleuse d’un de ces éléments, le client
devra, soit procéder à une modification de
son mot de passe à l’aide des outils fournis
par Belgacom soit en informer Belgacom
dans les plus brefs délais. Cette
communication devra être confirmée par
lettre recommandée. La responsabilité du
client sera uniquement levée le jour ouvrable
suivant le jour de réception de cette lettre
recommandée par Belgacom .


12.5 Belgacom souhaite attirer l’attention du
Client sur le fait que la loi sur la commerce
électronique impose à chaque ISP de
communiquer les plaintes que ce dernier
recevrait par rapport à ses clients aux
instances juridiques.


extraits de l'acceptable use policy (du service internet)

2.1 d) le Client s’abstiendra de commettre des actes de piratage informatique ou de "hacking" à l’encontre du système de Belgacom ou de tout autre système ;

2.2 Il est interdit d’utiliser le Service pour toute action ayant pour objet :
a) d’accéder illégalement aux données des réseaux connectés ;
b) de perturber le bon fonctionnement du Service, l'utilisation ou la capacité des performances pour les autres utilisateurs, en particulier en générant des volumes de trafic importants et injustifiés ("flooding" ou "spamming") ;

[kihOp]

la orange livebox(sagem) en France a un mode de passe par défaut au cas où l'utilisateur le changerais. c'est le même pour toute les livebox.

identifiant : ec5a65867c83b4d55e7dacf59e76fc16
mot de passe : 21996518989cf0160390c5af372c588e

Belgacom a peut être fait la même chose.

[coolcat]

Ce qui est plus inquiétant, c'est que Belgacom a l'air d'en avoir rien a foutre et continue de raconter n'importe quoi !

Qu'en sais-tu qu'il n'en n'ont rien à foutre. Tu es allé voir chez eux?

[Lecter H]

Avec le login et password, en plus du quota et de la mailbox principale, on peut aussi avoir accès à l'espace web BGC (exemple : users.skynet.be\...).
Ne pas oublier que beaucoups de petites et moyennes entreprises sont clientes chez BGC et l'espace web peut contenir des données sensibles (données clientèle) ou la vitrine de la société (site web).

[pyro]

Ce qui est plus inquiétant, c'est que Belgacom a l'air d'en avoir rien a foutre et continue de raconter n'importe quoi !

Qu'en sais-tu qu'il n'en n'ont rien à foutre. Tu es allé voir chez eux?

Si il en avait pas rien à foutre de leurs clients, ils auraient REELEMENT changé leurs mots de passe, et aurait envoyé un technicien pour les en avertir si il le faut ( puisqu'il n'ont plus internet en changeant de mot de passe ), là excuse moi mais dire que tout est sécurisé, que cahqun a reçu un nouveau mot de passe, faut pas pousser bobonne non plus

[Xiode]

y a personne qui a juste la liste des login a envoyé en mp histoire de voir si le mien ou celui du voisin y est pas ?? comme apparemment y'a eu du fb

[pyro]

y a personne qui a juste la liste des login a envoyé en mp histoire de voir si le mien ou celui du voisin y est pas ?? comme apparemment y'a eu du fb

Envoie mon ton login par MP je te dirai si tu veux

[coolcat]

Ce qui est plus inquiétant, c'est que Belgacom a l'air d'en avoir rien a foutre et continue de raconter n'importe quoi !

Qu'en sais-tu qu'il n'en n'ont rien à foutre. Tu es allé voir chez eux?

Si il en avait pas rien à foutre de leurs clients, ils auraient REELEMENT changé leurs mots de passe, et aurait envoyé un technicien pour les en avertir si il le faut ( puisqu'il n'ont plus internet en changeant de mot de passe ), là excuse moi mais dire que tout est sécurisé, que cahqun a reçu un nouveau mot de passe, faut pas pousser bobonne non plus

Le nouveau mot de passe est réinjecté automatiquement dans une BBox sans même que son propriétaire ne le sache, quitte à le prévenir par courrier 2 jours plus tard.
Il aura juste eu une coupure de ligne de max 2 minutes.

[pyro]

Ce qui est plus inquiétant, c'est que Belgacom a l'air d'en avoir rien a foutre et continue de raconter n'importe quoi !

Qu'en sais-tu qu'il n'en n'ont rien à foutre. Tu es allé voir chez eux?

Si il en avait pas rien à foutre de leurs clients, ils auraient REELEMENT changé leurs mots de passe, et aurait envoyé un technicien pour les en avertir si il le faut ( puisqu'il n'ont plus internet en changeant de mot de passe ), là excuse moi mais dire que tout est sécurisé, que cahqun a reçu un nouveau mot de passe, faut pas pousser bobonne non plus

Le nouveau mot de passe est réinjecté automatiquement dans une BBox sans même que son propriétaire ne le sache, quitte à le prévenir par courrier 2 jours plus tard.
Il aura juste eu une coupure de ligne de max 2 minutes.

tu expliques comment que 2/3 des comptes fonctionnnent encore ?

[coolcat]

Ce qui est plus inquiétant, c'est que Belgacom a l'air d'en avoir rien a foutre et continue de raconter n'importe quoi !

Qu'en sais-tu qu'il n'en n'ont rien à foutre. Tu es allé voir chez eux?

Si il en avait pas rien à foutre de leurs clients, ils auraient REELEMENT changé leurs mots de passe, et aurait envoyé un technicien pour les en avertir si il le faut ( puisqu'il n'ont plus internet en changeant de mot de passe ), là excuse moi mais dire que tout est sécurisé, que cahqun a reçu un nouveau mot de passe, faut pas pousser bobonne non plus

Le nouveau mot de passe est réinjecté automatiquement dans une BBox sans même que son propriétaire ne le sache, quitte à le prévenir par courrier 2 jours plus tard.
Il aura juste eu une coupure de ligne de max 2 minutes.

tu expliques comment que 2/3 des comptes fonctionnnent encore ?

Quelqu'un ici a évoqué la possibilité que Belgacom ait laissé les comptes hackés actifs aussi pour piéger ceux qui se risquent à les utiliser
Comme une pauvre mouche dans une toile d'araignée...

[TC]

pour info


extraits des conditions générales (du service internet)

12.3. Le client s’engage à préserver le
caractère secret et confidentiel de son mot
de passe et de son code d’accès et à ne pas
communiquer ces derniers à un tiers. Chaque
utilisation des éléments d’identification aura
lieu sous la seule et entière responsabilité du
client. En cas de perte, de vol ou d’utilisation
frauduleuse d’un de ces éléments, le client
devra, soit procéder à une modification de
son mot de passe à l’aide des outils fournis
par Belgacom soit en informer Belgacom
dans les plus brefs délais. Cette
communication devra être confirmée par
lettre recommandée. La responsabilité du
client sera uniquement levée le jour ouvrable
suivant le jour de réception de cette lettre
recommandée par Belgacom .


12.5 Belgacom souhaite attirer l’attention du
Client sur le fait que la loi sur la commerce
électronique impose à chaque ISP de
communiquer les plaintes que ce dernier
recevrait par rapport à ses clients aux
instances juridiques.


extraits de l'acceptable use policy (du service internet)

2.1 d) le Client s’abstiendra de commettre des actes de piratage informatique ou de "hacking" à l’encontre du système de Belgacom ou de tout autre système ;

2.2 Il est interdit d’utiliser le Service pour toute action ayant pour objet :
a) d’accéder illégalement aux données des réseaux connectés ;
b) de perturber le bon fonctionnement du Service, l'utilisation ou la capacité des performances pour les autres utilisateurs, en particulier en générant des volumes de trafic importants et injustifiés ("flooding" ou "spamming") ;

Ca, ce sont les responsabilité du client. Dans ce cas, il n'y a pas eu de perte, de vol ou d'utilisation frauduleuse (du client). Evidement, ce chapitre avait du sens il y a quelques années où l'utilisateur/mot de passe était uniquement utiliser pour se connecter à internet et ou il était quasi certain que la perte (vol, ...) ne pouvait venir que du client. Aujourd'hui le modem est imposé par Belgacom et est configuré par Belgacom.