Comment j'ai été hacké sur ChilliPoker

… par moi même

J’ahallucine.

Il y a deux jours j’ai voulu changer d’air en retournant sur ChilliPoker où je m’étais inscris via Pokac il y a quelques moi. Il n’y avait pas d’argent sur le compte et je comptais faire un petit dépot.

j’essaie de me souvenir de mon mot de passe : impossible. Je fais quelques essais infructueux. Le compte est bloqué. Jusque là tout est normal.

J’envoie un message au support pour leur demander de m’expliquer la procédure de réinitialisation de mot de passe. Je leur communique mon adresse e-mail dans le corp du texte (celle qui est déclarée dans mes infos perso sur ChilliPoker) ainsi que mon identifiant.

Je m’aperçois presque aussitôt que je n’ai pas envoyé ce message avec le compte e-mail que j’avais déclaré à ChilliPoker et qui est donc lié à mes infos personnelles sur cette room. Je me dis c’est pas grave ils vont me répondre en me disant que c’est pas la même adresse e-mail et me demander de justifier de celle qu’ils connaissent.

Et bien non !!!

Je reçois quelques temps plus tard une simple réponse à mon mail avec un nouveau mot de passe générique sans aucune autre forme de vérification sur mon identité, mon adresse e-mail etc …

Et cela marche quelques dizaines de minutes plus tard …

A l’aide de mon identifiant et d’une nouvelle adresse e-mail j’ai donc pu accéder à mon compte.

Presque n’importe qui aurait donc pu faire de même …

Je leur ai écrit pour leur demander grosso modo « Mais qu’est ce que c’est que ce bord… ? »

j’ai eu des réponses fausses d’abord genre : " Avant de répondre à toute demande de changement de mot de passe nous procédons a une vérifications de l’adresse email mais aussi de l’adresse IP de la provenance de votre email. xx.xxx.x.xx est l’adresse email que vous avez utilisé pour accéder à votre compte et aussi pour envoyer votre email."

je lur dis que ce qu’il me communiquent n’est pas uen adresse e-mail mais une adresse IP et que cela ne change rien puisque de toute manières c’est l’adresse e-mail qui ne correspond pas …

Ils me répondent " nous voulons biens sûr dire adresse IP. ce fut une petite erreur de ma part.

nous avons aussi vérifié votre nom sur le l’addresse email présente.

J’ai réagit aussi rapidement pour que vous ayez accés a votre compte."

je leur réponds alors que justement c’est pas la même !!! Elle n’est même pas chez le même fournisseur d’accès !!!

il y a mon nom mais formulé différemment …

Alors moi je dis que si la sécurité est aussi légère (ou inexistante au choix …) pour récupérer un mot de passe, ça fou les miquettes pour le reste …

Avez vous déjà eu un problème de ce type ?

fort ces stagiaires…
Medaille d’or de l’incompétance pour le sav de chilipoker.
En plus il est impossible pour chilipoker de connaitre l’adresse IP de celui qui leur envoie un email. Au mieux ils ont l’adresse du serveur mail.

J’hallucine aussi :woohoo:

Putain question de confiance :ohmy:

C’est le genre de mauvaises pub avec preuves à l’appui qui peut te faire perdre pas mal de parts de marché. Vu que les sociétés étant installé dans des paradis fiscaux, tout ce joue sur la confiance entre room et client

Waow beh vive les cash out régulier via moneybookers. Au moins là-bas on ne donne pas son pass à tout bout de champs !

Wow … pas très rassurant en effet.
Je dirai même que ca fout grave les pétoches ton histoire.

Question : Ton compte n’était pas alimenté, était il temporairement inactif comme cela se fait sur certaines rooms après une longue inactivité ? ou juste dépourvu de fond ?

j’vais bientôt cash in sur chili c’est rassurent

Diezal wrote:

[quote]Wow … pas très rassurant en effet.
Je dirai même que ca fout grave les pétoches ton histoire.

Question : Ton compte n’était pas alimenté, était il temporairement inactif comme cela se fait sur certaines rooms après une longue inactivité ? ou juste dépourvu de fond ?[/quote]

Il n’y a aucun préjudice. le compte était vide. Et je me suis hacké moi même …

Mais n’importe qui pouvant avoir accès à mon identifiant (semi confidentiel puisque il apparaît en clair sur la fenêtre de log) et qui aurait créé une adresse e-mail avec mon nom (tout le monde peut le faire)aurait pu obtenir un mot de passe sans aucune procédure de vérification et accéder à mon compte.

C’est ce qui s’est passé avec moi.

mch1x wrote:

Vous emballez pas … Il faut peut être juste relayer l’info et se plaindre auprès d’eux afin que les choses changent le plus rapidement possible et que la sécurité soit vraiment assurée comme on nous le promet. Peut être que Pokac pourrait d’ailleur user de son partenariat avec cette room pour se plaindre officiellement (je peux communiquer tous les justifs).

Je pense que tu tires des conclusions un peu rapide.

Il ne faut pas oublier que tu n’avais pas de $ sur ton compte, ça joue beaucoup dans l’attitude du support.

Perso, j’ai déjà pu, sur une autre room, me faire réouvrir mon compte alors que je n’avais plus ni mail, ni mot de passe.

Ils me l’ont réouvert sans dificulté, car j’étais comme toi, je n’avais plus d’argent dessus.

Philippe wrote:

[quote]Je pense que tu tires des conclusions un peu rapide.

Il ne faut pas oublier que tu n’avais pas de $ sur ton compte, ça joue beaucoup dans l’attitude du support.

Perso, j’ai déjà pu, sur une autre room, me faire réouvrir mon compte alors que je n’avais plus ni mail, ni mot de passe.

Ils me l’ont réouvert sans dificulté, car j’étais comme toi, je n’avais plus d’argent dessus.[/quote]

Je ne tire pas de conclusions, j’expose les faits. Et je dis que cela ne m’inspire aucune confiance sur la manière dont la sécurité semble être gérée sur cette room.

Oui peut être que cela s’est passé comme ça car il n’y avait apr d’argent sur le compte mais peut être pas. Rien ne me dis que c’est la raison pour laquelle j’ai pu y accéder aussi facilement.

Et comme tu a pu lire, et les réponses moisies enrobée d’un pseudo discours technique que j’ai reçu m’ont renforcé dans cette idée.
Et puis est tu certain que cela s’est passé exactement comme ça ? La room dont tu parle n’a pas fais un minimum de vérifs ?

Moi j’ai demandé comment on fait pour retrouver un mot de passe perdu et on m’en a simplement renvoyé un par retour de mail … Même pas d’accès au site pour en créer un autre … rien … un simple return … a une adresse qui n’était pas censée, pour eux, être la mienne …

Si toi tu as pu accéder a ton compte tant mieux pour toi.

Désolé si c’est un partenaire pokac mais moi cela ne me satisfait pas.

PS : Et puis le fait qu’il n’y ait pas d’argent ne change rien au fait qu’une room détiens des infos, confidentielles pour certaines, qui de ce fait peuvent être accessibles à (presque) n’importe qui et il n’y a pas de raisons à cela (tel, adresse e-mail, infos de CB, compte Neteller etc. ).

Alors aujourd’hui j’ai voulu accéder à mon compte ChilliPoker et après seulement un essai (avec le bon mot de passe je précise) le compte à été bloqué.

Je contacte le support via le Live Chat et là après quelques minutes d’attente on me demande d’envoyer une copie de ma CI à partir de l’adresse e-mail enregistrée sur le compte.

Je vous épargne la discussion surréaliste qui en a découlé … Beau mélange de dialogue de sourd et de mauvaise foi … bref … ils ne souhaitent probablement pas que l’incident soit trop ébruité … et son du coup tombés dans l’excès inverse …

pourquoi n’ont ils pas une procédure de réinitialisation de mdp comme la plupart des autres rooms ? Mystère … ca serait tellement plus simple … Et plus sûr …

re Bref … peut être que mes mails (et peut être ces messages sur Pokac … qui sait …) ont été pris en compte et qu’ils durcissent leur procédure … Mais avec moi seulement ?

Dieu seul le sait …

Je leur laisse le bénéfice du doute …

Amen

hacker hacke alors ?

tout va bien finalement non ?

Hacker hacké pas exactement. Car je ne suis pas un hacker

Disons plutôt que c’est comme si j’avais hacké mon propre compte à l’aide d’une fausse adresse et d’un mot de passe gracieusement communiqué par la room il y a deux jours …

… et qu’aujourd’hui je me sois fais jeter et suspecter de hacking en voulant y accéder avec un vrai que j’ai créé hier …

Parce que ce que j’ai oublié de dire c’est qu’hier j’y avait accès (avec leur mot de passe) et que je l’ai changé pour un nouveau, après avoir répondu à la question de sécurité …

No comment …

Si ce n’est que, oui, tout va bien dans la mesure où cette room est rayée de ma carte.

ha ?
pas compris moi

rien, mais alors rien du tout