Piratage et rançon...

5654
,

Bonjour,

Je viens demander l'avis des spécialistes en sécurité :)

Situation actuelle

J'ai fait le site d'un ami il y a 8 ou 9 ans en php pur... Et surtout, avec une qualité code digne d'un débutant...
Mais, ca reste un projet avec une 15aine de tables avec pas mal de liaisons...

Ceci étant, on à décidé de le refaire entièrement...

Je suis donc en cours de développement de la V2. Avec Laravel et React...
J'utilise Valet sur OSX...
Je suis presque à la fin du Front et je n'ai encore rien fait au niveau du Back-office.

Tout ce passait bien depuis 2 semaines, jusqu'a ce matin...

Mais, la journée etait moins fun aujourd'hui...

En voulant continuer le projet, je m'appercois vite qu'il y a pleins d'erreurs inatendues...
Et en regardant, je m'appercois que ma DB (mysql) à perdu pas mal d'informations... Certaines tables sont même vides...

Et je remarque aussi l'existence d'une nouvelle DB avec pour nom "ReadMe_Please" (ou truc du genre).
Avec dedans, un champs qui m'explique que si je veux revoir ma DB disparue, je dois payer une somme en BTC. Et un autre champs avec l'adresse du portefeuille de cette personne...

Bien entendu, impossible d'imaginer payer pour ce genre de pratique...
(Et bien entendu, j'ai une sauvegarde mais qui date déja de plusieurs jours et bcp de choses ont changées depuis...)

Les choses sont de nouveau en ordre mais...

... Mais, je n'ai aucune idée de ce qui à pu se passer... Comment il a pu faire ?

Je pense à deux choses...

  1. Ma base de donnée Mysql n'a, ni ne même identifiant ni le même pass que la DB sur l'hébergeur
  2. J'ai utilisé Ngrok quelques fois avec 'valet share' ...

    Enfin, bref, je suis perdu.. J'ai juste la crainte de me réveiller demain matin avec encore des soucis du genre...

Et pour info:

  • OS X est a jour,
  • J'ai activé le pare-feu d'origine aujourd'hui.
  • Laravel est une version d'il y à 2 semaines...
  • J'ai scanné tout avec BitDefender et MalwareBytes
  • J'ai changé le pass de la DB locale
  • J'ai mêm changé le pass de mon compte utilisateur OS X

Merci d'avance à tous !

3 Réponse

1
,

Oula c'est effectivement étrange. Tu veux dire que la personne a créé cette table sur ton ordinateur en local ?

5654
,

Yep, c'est ca... Avec un joli message du type "paye moi 0.05BTC si tu veux récupérer ta db" ...
Je sais que ce type de technique existe par mail, mais c'est la première fois que j'entend parler de ca (surtout que je suis victime du truc)

J'ai du dégager toute l'install de Mysql et réinstall (via Brew) parce que, sans ca, impossible d'importer mes dump ...

1
,

Vraiment bizarre, peut être qu'à un moment ta base s'est retrouvé exposée à l'extérieur (peut être au travers d'ngrok) et un petit malin a fait ça. En dehors de ça je ne vois pas trop comment ça serait possible.