Arrêté pour la vente d'un million d'identifiants Netflix, Spotify ou Hulu

Le par  |  8 commentaire(s)
WickedGen

Un homme de 21 ans a été arrête pour la vente d'identifiants volés afin d'accéder à des comptes comme Netflix et Spotify. Il était l'administrateur de WickedGen.com.

Cette semaine, la police fédérale australienne a annoncé l'arrestation d'un individu âgé de 21 ans dans le cadre d'une enquête menée en collaboration avec le FBI. Vivant à Sydney en Australie, il est accusé d'avoir vendu des identifiants de connexion volés en ligne.

Les services d'abonnement concernés comprennent Netflix (svod), Spotify (streaming de musique) ou encore Hulu (svod). Selon les autorités australiennes, l'homme aurait obtenu les identifiants par une pratique dite de " credential stuffing. "

Cette pratique consiste à utiliser des identifiants (noms d'utilisateur et mots de passe) d'une fuite de données pour les essayer dans d'autres services. Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes.

WickedGen
Les victimes (avec des comptes légitimes) sont en Australie et à l'échelle internationale. L'affaire est en lien avec le site web dénommé WickedGen.com qui revendiquait plus de 120 000 utilisateurs et les détails pour près d'un million de comptes.

WickedGen
WickedGen.com proposait des formules d'abonnement. Selon la police australienne, l'administrateur de WickedGen.com aurait amassé 300 000 dollars australiens (près de 190 000 €).

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2055204
Un couac dans le lien "Wicked.com", il manque gen, j'ai été consulté le lien et j'ai trouvé ça cool.

Merci Jérôme
Le #2055221
"Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes."

C'est vraiment l'erreur à ne pas faire, il vaut mieux avoir un password différent pour chaque compte et un bon gestionnaire de passwords pour s'en souvenir.
Le #2055226
skynet a écrit :

"Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes."

C'est vraiment l'erreur à ne pas faire, il vaut mieux avoir un password différent pour chaque compte et un bon gestionnaire de passwords pour s'en souvenir.


Ah bon?

C'est bizarre, j'ai un compte Google (iflo59@gmail.fake) avec le password 123456 j'ai jamais été piraté, même Netflix n'a jamais été piraté, et encore, j'ai lié ce compte à Steam, PayPal (avec mon compte bancaire), facebook, Snapchat, instagram, et diverses comptes sensible.

C'est plus facile de retenir "123456" que "Bp)-$x;}z.E9" ou "Jaimemacherie"
Par contre, maintenant que vous avez mon MDP, je vous prie de ne pas y aller en attendant que je remplace tout mes mots de passes par : 000000

Merci de votre compréhension
Le #2055245
Quand on a un pois chiche à la place du cerveau, faut s'attendre à ce genre de retour de manivelle.

Je ne me réjouis jamais du malheur d'autrui mais j'avoue que pour certains, j'ai de la peine à les plaindre.
Le #2055296
iFlo59 a écrit :

skynet a écrit :

"Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes."

C'est vraiment l'erreur à ne pas faire, il vaut mieux avoir un password différent pour chaque compte et un bon gestionnaire de passwords pour s'en souvenir.


Ah bon?

C'est bizarre, j'ai un compte Google (iflo59@gmail.fake) avec le password 123456 j'ai jamais été piraté, même Netflix n'a jamais été piraté, et encore, j'ai lié ce compte à Steam, PayPal (avec mon compte bancaire), facebook, Snapchat, instagram, et diverses comptes sensible.

C'est plus facile de retenir "123456" que "Bp)-$x;}z.E9" ou "Jaimemacherie"
Par contre, maintenant que vous avez mon MDP, je vous prie de ne pas y aller en attendant que je remplace tout mes mots de passes par : 000000

Merci de votre compréhension


Moi perso je génère mes mdp avec Avast Password et il les retient comme un grand dans une BD cryptée. Avast me propose aussi de sauver ma BD de mdp local dans le cloud au cas ou mon PC crasherait...

Il remplit automatiquement les champs de formulaire (pseudo et mdp) en détectant l'url et les différents champs de texte de la page.

Je trouve cela très pratique.

Il y a aussi des solutions libre et gratuite comme KeepPassXC mais un peu moins performante je trouve (surtout pour la détection automatique des champs de texte dans la page).

Le seul couac c'est que forcément, il ne faut pas qu'un pirate arrive à récupérer ta BD de mdp et la décrypte pour voir en clair tout tes identifiants.

Enfin il faut y aller pour décrypter une sécurisation par chiffrement AES en 256 bits.
Le #2055337
TheDarkgg a écrit :

iFlo59 a écrit :

skynet a écrit :

"Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes."

C'est vraiment l'erreur à ne pas faire, il vaut mieux avoir un password différent pour chaque compte et un bon gestionnaire de passwords pour s'en souvenir.


Ah bon?

C'est bizarre, j'ai un compte Google (iflo59@gmail.fake) avec le password 123456 j'ai jamais été piraté, même Netflix n'a jamais été piraté, et encore, j'ai lié ce compte à Steam, PayPal (avec mon compte bancaire), facebook, Snapchat, instagram, et diverses comptes sensible.

C'est plus facile de retenir "123456" que "Bp)-$x;}z.E9" ou "Jaimemacherie"
Par contre, maintenant que vous avez mon MDP, je vous prie de ne pas y aller en attendant que je remplace tout mes mots de passes par : 000000

Merci de votre compréhension


Moi perso je génère mes mdp avec Avast Password et il les retient comme un grand dans une BD cryptée. Avast me propose aussi de sauver ma BD de mdp local dans le cloud au cas ou mon PC crasherait...

Il remplit automatiquement les champs de formulaire (pseudo et mdp) en détectant l'url et les différents champs de texte de la page.

Je trouve cela très pratique.

Il y a aussi des solutions libre et gratuite comme KeepPassXC mais un peu moins performante je trouve (surtout pour la détection automatique des champs de texte dans la page).

Le seul couac c'est que forcément, il ne faut pas qu'un pirate arrive à récupérer ta BD de mdp et la décrypte pour voir en clair tout tes identifiants.

Enfin il faut y aller pour décrypter une sécurisation par chiffrement AES en 256 bits.


Pour moi, l'inconvénient c'est que le jour où tu es dans la pampa (lire, chez un pote) et que tu as besoin d'accéder à un site sans ton logiciel, ben t'es un peu dans la mouise vu que tu ne connais aucun de TES mots de passes.

Quand à la sécurisation de l'AES 256 bits, heum
https://www.google.com/search?q=d%C3%A9crypter+AES+256+bits
Le #2055348
sansimportance a écrit :

TheDarkgg a écrit :

iFlo59 a écrit :

skynet a écrit :

"Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes."

C'est vraiment l'erreur à ne pas faire, il vaut mieux avoir un password différent pour chaque compte et un bon gestionnaire de passwords pour s'en souvenir.


Ah bon?

C'est bizarre, j'ai un compte Google (iflo59@gmail.fake) avec le password 123456 j'ai jamais été piraté, même Netflix n'a jamais été piraté, et encore, j'ai lié ce compte à Steam, PayPal (avec mon compte bancaire), facebook, Snapchat, instagram, et diverses comptes sensible.

C'est plus facile de retenir "123456" que "Bp)-$x;}z.E9" ou "Jaimemacherie"
Par contre, maintenant que vous avez mon MDP, je vous prie de ne pas y aller en attendant que je remplace tout mes mots de passes par : 000000

Merci de votre compréhension


Moi perso je génère mes mdp avec Avast Password et il les retient comme un grand dans une BD cryptée. Avast me propose aussi de sauver ma BD de mdp local dans le cloud au cas ou mon PC crasherait...

Il remplit automatiquement les champs de formulaire (pseudo et mdp) en détectant l'url et les différents champs de texte de la page.

Je trouve cela très pratique.

Il y a aussi des solutions libre et gratuite comme KeepPassXC mais un peu moins performante je trouve (surtout pour la détection automatique des champs de texte dans la page).

Le seul couac c'est que forcément, il ne faut pas qu'un pirate arrive à récupérer ta BD de mdp et la décrypte pour voir en clair tout tes identifiants.

Enfin il faut y aller pour décrypter une sécurisation par chiffrement AES en 256 bits.


Pour moi, l'inconvénient c'est que le jour où tu es dans la pampa (lire, chez un pote) et que tu as besoin d'accéder à un site sans ton logiciel, ben t'es un peu dans la mouise vu que tu ne connais aucun de TES mots de passes.

Quand à la sécurisation de l'AES 256 bits, heum
https://www.google.com/search?q=d%C3%A9crypter+AES+256+bits


La BD est sauvé sur le cloud donc tu as accès n'importe ou à tes mdp si tu as une connexion internet.

L'AES utilisé avec une clé de 256 bits est "presque" inviolable même avec le supercalculateur le plus puissant du monde cela prendrait des années à être déchiffré.

Tu te doutes bien qu'il serait ridicule d'utiliser autant de temps et de ressources pour déchiffrer la BD d'une personne lambda.

Tu as plus de chance de te faire piquer tes MDP directement dans les BD des sites ou tu t'es inscrits comme par exemple sur "generation-nt.com".

La BD est chiffré sur gnt ? J'espère...

EDIT:
Ah ben voilà quand on parle du loup
https://www.generation-nt.com/gearbest-fuite-donnees-vpnmentor-actualite-1963149.html
Le #2055370
TheDarkgg a écrit :

sansimportance a écrit :

TheDarkgg a écrit :

iFlo59 a écrit :

skynet a écrit :

"Elle s'appuie notamment sur le fait que de mêmes identifiants sont réutilisés pour divers comptes."

C'est vraiment l'erreur à ne pas faire, il vaut mieux avoir un password différent pour chaque compte et un bon gestionnaire de passwords pour s'en souvenir.


Ah bon?

C'est bizarre, j'ai un compte Google (iflo59@gmail.fake) avec le password 123456 j'ai jamais été piraté, même Netflix n'a jamais été piraté, et encore, j'ai lié ce compte à Steam, PayPal (avec mon compte bancaire), facebook, Snapchat, instagram, et diverses comptes sensible.

C'est plus facile de retenir "123456" que "Bp)-$x;}z.E9" ou "Jaimemacherie"
Par contre, maintenant que vous avez mon MDP, je vous prie de ne pas y aller en attendant que je remplace tout mes mots de passes par : 000000

Merci de votre compréhension


Moi perso je génère mes mdp avec Avast Password et il les retient comme un grand dans une BD cryptée. Avast me propose aussi de sauver ma BD de mdp local dans le cloud au cas ou mon PC crasherait...

Il remplit automatiquement les champs de formulaire (pseudo et mdp) en détectant l'url et les différents champs de texte de la page.

Je trouve cela très pratique.

Il y a aussi des solutions libre et gratuite comme KeepPassXC mais un peu moins performante je trouve (surtout pour la détection automatique des champs de texte dans la page).

Le seul couac c'est que forcément, il ne faut pas qu'un pirate arrive à récupérer ta BD de mdp et la décrypte pour voir en clair tout tes identifiants.

Enfin il faut y aller pour décrypter une sécurisation par chiffrement AES en 256 bits.


Pour moi, l'inconvénient c'est que le jour où tu es dans la pampa (lire, chez un pote) et que tu as besoin d'accéder à un site sans ton logiciel, ben t'es un peu dans la mouise vu que tu ne connais aucun de TES mots de passes.

Quand à la sécurisation de l'AES 256 bits, heum
https://www.google.com/search?q=d%C3%A9crypter+AES+256+bits


La BD est sauvé sur le cloud donc tu as accès n'importe ou à tes mdp si tu as une connexion internet.

L'AES utilisé avec une clé de 256 bits est "presque" inviolable même avec le supercalculateur le plus puissant du monde cela prendrait des années à être déchiffré.

Tu te doutes bien qu'il serait ridicule d'utiliser autant de temps et de ressources pour déchiffrer la BD d'une personne lambda.

Tu as plus de chance de te faire piquer tes MDP directement dans les BD des sites ou tu t'es inscrits comme par exemple sur "generation-nt.com".

La BD est chiffré sur gnt ? J'espère...

EDIT:
Ah ben voilà quand on parle du loup
https://www.generation-nt.com/gearbest-fuite-donnees-vpnmentor-actualite-1963149.html


"La BD est sauvé sur le cloud donc tu as accès n'importe ou à tes mdp si tu as une connexion internet."
OK, et tu y accèdes comment ? Avec un logiciel ou un simple navigateur ?
Il faut (j'espère) un mot de passe pour y accéder, est-il demandé (souvent) en local (histoire de s'en souvenir quand on ne l'a pas utilisé pendant... un certain temps)
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme