Compte Google piraté ?

a marqué ce sujet comme résolu.

Bonsoir !

En me rendant sur mon espace Google Cloud Platform, je vois un projet, WhatsIsTheMatix, qui ne m’appartient pas. En regardant un peu, je vois qu’il y à beaucoup d’activité sur ce projet avec tout un tas d’adresse email différentes.

J’ai "Googlé" l’email du propriétaire du projet, et je n’ai que 5 résultats, qui mènent vers des sites pour adulte.

Je n’ai aucun accès spécial sur le projet. D’ailleurs, je ne me vois même dans la liste liste des membres du projet. Par contre, je peux tout de même faire quelques actions dessus (des suppressions par exemple de je sais pas trop quoi).

Le compte de facturation associé ne m’appartient pas, et je n’ai aucun accès dessus, hormis le coût du projet (qui est de 0$).

Bref, je ne peux pas quitter ce projet par moi même car Google ne permet pas cela. Les questions que je me pose sont les suivantes :

  • Comment ça se fait que je sois dans ce projet sans jamais n’avoir rien accepté ?
  • Théoriquement, ça leurs permet de faire/voir quoi sur mon compte Google ?
  • Dois-je contacter Google pour qu’ils me retirent du projet ?
  • Mon compte Google à été piraté ? J’ai pourtant toujours activé la double authentification. Comment le savoir ?

Merci !

+0 -0

Alors je crois avoir paniqué pour rien.

En effet, j’ai regardé mon compte Google au niveau sécurité. Rien d’anormal. Pas de connexion suspecte, rien.

J’en ai profité pour supprimer des anciens appareils (que j’ai toujours, mais je ne m’en sert plus, donc autant le faire). J’ai renouvellé mes codes de secours, pour être sûr que si quelqu’un en a une liste, il en puisse plus les utiliser, et j’ai déconnecter certaines applications.

Mon compte Google à l’air en sécurité. Et en même temps, je suis tombé dessus : https://issuetracker.google.com/35903415

C’est pour le coup très mal fait Google. En fait, n’importe qui peut m’ajouter à un projet Google Cloud, sans rien me demander ni sans action de ma part, et sans aucune possibilité pour moi de quitter le projet.

Je me retrouve donc avec un projet que je n’utiliserais jamais… sans pouvoir le faire disparaître. Triste. :(

Edit : Par contre je suis bien sur la liste du site que tu m’a donné. Une fois en 2019, mais ça je l’ai su car mon compte Twitter à été bannis suite à une utilisation non légale de mon compte et j’ai pas hésiter à prendre un gestionnaire de mot de passe juste après ça et à tout changer), et une autre fois en 2020. Là par contre, c’est pas normal. Impossible en revanche de savoir quel email/mot de passe à fuite, c’est dommage.

+0 -0

Tu peux taper ton mot de passe et ça te dis s’il a été enregistré ou pas. Et je me dis que pour l’adresse email, …, ben c’est le fonctionnement de base de hibp. Tu peux y entrer toutes tes adresses emails non ? Juste pour checker.

+0 -0

Tu peux taper ton mot de passe et ça te dis s’il a été enregistré ou pas. Et je me dis que pour l’adresse email, …, ben c’est le fonctionnement de base de hibp. Tu peux y entrer toutes tes adresses emails non ? Juste pour checker.

ache

Salut, est-ce reellement une bonne idee de donner un mot de passe a un site comme celui-ci? Je sais que haveibeenpwd est un site assez connu, cependant, comment pouvons-nous etre sur qu’il n’est pas malveillant et ajoute tous les PW qu’on lui donne a une database?

Tu peux taper ton mot de passe et ça te dis s’il a été enregistré ou pas. Et je me dis que pour l’adresse email, …, ben c’est le fonctionnement de base de hibp. Tu peux y entrer toutes tes adresses emails non ? Juste pour checker.

ache

Salut, est-ce reellement une bonne idee de donner un mot de passe a un site comme celui-ci? Je sais que haveibeenpwd est un site assez connu, cependant, comment pouvons-nous etre sur qu’il n’est pas malveillant et ajoute tous les PW qu’on lui donne a une database?

imlambda

N’étant pas détenteur du site il est impossible de le certifié à 100%. N’empêche, on peut tout de même faire quelques vérifications:

Selon le lien fourni sur la page: https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity le système utilisé est expliqué pour vérifier les mots de passe.

En résumé, le navigateur (donc on reste en local) va calculé le hash du mot de passe fourni. Le navigateur va envoyé les 5 premiers caractères de ce hash et le serveur va donné comme réponse tous les hash connu (tous les mot de passe qu’il connait sous forme hashé). (en moyenne dans les ~400 résultats). Le navigateur va ensuite vérifier si le hash complet est dans cette liste.

De ce fait, le site ne reçois jamais le mot de passe ou sa version hashé. Et il suffit de vérifier avec un navigateur ce fonctionnement:

2021_06_15_0qn_Kleki.png
2021_06_15_0qn_Kleki.png

Bien entendu, la requête ne contient aucune autre information.

Edit: Il est également possible de télécharger les archives contenant tous ces mots de passes (un peu plus bas dans la page) si on souhaite faire une vérification manuel en local.

+1 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte