!!! Alerte !!! À lire !!!!

in #fr7 years ago (edited)

Hacker inside

Révoquez tous vos accès steemconnect il semblerait que nos comptes aient été hacké !!!
Il semblerait que tous les token ayant fuités ont maintenant été révoqué, plus besoin de le faire vous-même (mais vous pouvez vérifier sur le site).
Voici l'URL pour gérer les accès SteemConnect : https://steemconnect.com/apps/authorized

Mon compte, ainsi que de nombreux autre steemiens, ont up/downvoté quelques publications vers 15-16h !!

Il semblerai que seuls les accès de type posting aient été utilisés (je l'espère).
UPDATE: Seuls les droits de type posting ont pu être usurpés, suite à une fuite des token d'authentification (Le leak a été identifié du côté du projet Utopian).

BON A SAVOIR:

  1. Ni SteemConnect ni aucune application ne semble être en cause directement. Il ne s'agit pas d'un soucis dans le mécanisme d'authentification et de transfert des droits via SteemConnect.
  2. Vos STEEM et Steem Dollars sont sauf également, pas de risque de perte suite à ce hack car utopian ne demande pas d'accès à votre portefeuille.

Transmettez le message aux autres steemiens !
Et n'oubliez pas de changer vos codes de temps en temps !!!

Merci à ceux qui m'ont prévenus en mp ! Merci à @oroger d'avoir réagi si vite.

Bonne journée à tous !

Et n'oubliez pas que l'on blog sur une blockchain. Si nous sommes des blogueurs, certains petits malins de l'informatique et pas toujours bien intentionné!

Source de l'image (Wikimedia)

Sort:  

Voici un peu plus d'information, le problème vient d'un hack d'Utopian qu'ils suspectent avoir été fait par un de leurs membres. Je viens d'écouter leur 'managers weekly' où ils en ont discuté. Le site d'Utopian ne sera plus accessible pendant une longue période, le temps qu'ils fixent leurs problèmes de sécurité et qu'ils arrivent avec une nouvelle version sécurisée. En attendant, les contributions Utopian continueront. Il suffira de les envoyer à partir d'un autre site (Steemit, Busy, etc...) et de respecter les règles qui seront données dans un post d'Utopian qui devrait arriver d'ici quelques heures. Les autres applications ne semblent pas avoir été affectées.

Déja que steemit est en train de mourir avec sa loi du plus riche, alors si les groupe indés sur Steem se mette à hacker, j'ai juste envie de dire.. RIP STEEMIT.
J'attend le prochain projet blockchain qui permettra de rémunérer les créateurs de contenu de manière équitable et sécurisé.
Marre de voir des biographies de gens ou d'autre conneries dont tout le monde s'en fou faire des 1000$ par jours uniquement parce que ce sont des whales de la plateforme alors que d'autre beaucoup plus compétents et apportant un réel plus en terme de contenu et d'information galére toujours depuis des mois, je pense bien sur à des gens comme Mr citron, roxane, Ixindamix et j'en passe bref c'est dommage le projet était cool.

Je pense que c'est de Steem et pas de Steemit que tu veux parler. Il ne faut pas oublier que Steem est en bêta et donc en permanente évolution. Ces abus seront probablement fixés lors d'un prochain hard-fork, c'était bien pire avant quand les récompenses n'étaient pas linéaires. Mais Steem n'a rien à voir avec ce qu'il s'est passé, ce n'est pas via une faille dans la blockchain que ces actions se sont produites. C'est à cause d'un manque de sécurité de la part d'Utopian qui a permis d'utiliser les token SteemConnect de plusieurs comptes pour voter des posts.

Plutôt que de me plaindre de ce qui s'est passé, je serais plutôt du genre à féliciter l'équipe derrière SteemConnect pour leur réactivité. Il ne s'est écoulé qu'une heure entre le premier vote et la désactivation d'Utopian par SteemConnect. Je félicite aussi Utopian qui a agit très professionnellement en en prenant l'entière responsabilité et en saisissant cette occasion pour mettre le site hors-ligne jusqu'à avoir un système qui ne sera plus du proof of concept, et qui deux heures après les événements discutait de ce qu'il s'était passé dans un chat vocal ouvert à tous sur Discord. C'est en faisant des erreurs qu'on apprend à les éviter par la suite, que cet événement serve de leçon à tous les développeurs voulant se lancer dans Steem.

TL;DR: Steem n'a rien à voir avec ce qu'il s'est passé. Le fautif est Utopian, la preuve simple est que si je ne m'étais jamais connecté à Utopian de ma vie, je n'aurais jamais voté les 5-6 posts qui ont été ciblés par "l'attaqueur". J'espère cependant qu'Utopian ne perdra pas trop en réputation car c'est un des meilleurs projets de la blockchain Steem à ce jour.

merci de l'éclaircissement et de ton avis sur la chose !
Vu comme ça c'est vrai sa change. Vivement le fork alors ! :)

merci Roxane. Je resteem ton message. Mais comment révoquer steemconnect ? Suffit-il de se déconnecter ?

Très bonne remarque! voici le lien : https://steemconnect.com/apps/authorized
(je l'ai également ajouté dans l'article)

You can see and revoke the aurhorisations here: https://steemconnect.com/apps/authorized

Ce n’est plus nécessaire. L’application en cause est utopian.io et a été révoquée.

Merci pour l'update @evildido !

Merci @roxane. En allant dans le lien que tu nous donnes je m'aperçois que j'ai 2 applis d'autorisées busy.app et bottracker.app. A quoi correspond cette dernière ?
Bonne soirée à tous et que la force soit avec Steem !

Merci @roxane pour l'information ;-)

Roxane, c'était utopian

Merci @roxane de prévenir la communauté à propos de cette fuite de sécurité. J’ai révoqué mon accès à SteemConnect la semaine dernière et changé mes mots de passe après avoir vu cette vidéo en anglais la semaine dernière que je vous encouragerai tous à regarder:

@coruscate @raised2b Thanks for warning me firsthand about security risks regarding saving your passwords.

@roxane J’ai upvoté et resteemé ton article.

L’application en cause est utopian.io et a été révoquée.
Le changement de clef posting n’est pas nécessaire et inutile dans ce cas.

C’est le rôle de posting qui avait été volé à travers utopian.

Merci pour le partage et la vidéo, je ne l'avais pas encore vue, très intéressante !

Je pense que c'est finis ;) et que les gens perdrons pas la confiance en Steemconnect voir même les autres applis car c'est un outil vraiment utile :(

J'espère en effet que les utilisateurs ne perdrons pas confiance.

Comme je le disais le mécanisme de SteemConnect reste tout à fait sûr.
Ce fut fort stressant comme situation cela dit !

Merci pour l'info ... même si maintenant et visiblement tous est "résolu". :)

Merci pour l’info. Quel stress.
Je ne savais pas que de se connecter avec le posting Key était recommandé.
Je vais faire plus attention car j’utilise toujours le mot de passe classique.

Resteemed !