Author

Topic: Kraken : alerte de sécurité CloudFlare. (Read 1308 times)

legendary
Activity: 1245
Merit: 1027
February 24, 2017, 12:48:03 PM
#7
Ouki, merci pour vos reponses !!!  Wink
full member
Activity: 486
Merit: 101
February 24, 2017, 08:10:37 AM
#6
@Hypolite : Il faut le désactiver, puis le réactiver, tout simplement (Si, bien sur il était activé auparavant).
full member
Activity: 486
Merit: 101
February 24, 2017, 08:08:39 AM
#5
Poloniex est également touché. Ils ont communiqués via Twitter (https://twitter.com/Poloniex). Par contre, ils conseillent seulement de changer le PW, pas de re-activation du 2FA comme Kraken...

Aussi, TheHackerNews publie un article assez complet sur le sujet (http://thehackernews.com/2017/02/cloudflare-vulnerability.html) :

Quote
CloudFlare, a content delivery network (CDN) and web security provider that helps optimize safety and performance of over 5.5 Million websites on the Internet, is warning its customers of the critical bug that could have exposed a range of sensitive information, including passwords, and cookies and tokens used to authenticate users.
Dubbed Cloudbleed, the nasty flaw is named after the Heartbleed bug that was discovered in 2014, but believed to be worse than Heartbleed.
The vulnerability is so severe that it not only affects websites on the CloudFlare network but affects mobile apps as well.

Cela permet au moins de se rendre compte des différences de gestion à propos des différents Exchange. Du côté de Bitmex, aucun problème vu qu'ils utilisent leurs propres CDN (https://twitter.com/BitMEXdotcom/status/835100393025781762). Aujourd'hui, je l'estime comme le plus sécurisé des Exchange. Kraken quand à lui nous montre que la sécurité n'est pas forcément leur priorité. Je n'y laisse jamais rien, et je vous conseille la même chose. Par contre, j'ai confiance en Poloniex & Bitmex, et cet événement renforce cette confiance Wink


legendary
Activity: 1245
Merit: 1027
February 24, 2017, 08:06:11 AM
#4
Merci pour le lien sur leur blog : je n'y vais jamais et je ne comprends pas qu'il n'y ai rien sur leur site.

En substance, ils te demandent de changer ton password, voire ton 2FA et ton code API si tu en as.


Je t en prie, service entre cryptomen !! 😉

Ca m arrange pas ca, ca fait  deja plusieurs fois que je le change et ca devient compliquer de les retenir !!
En ce qui concerne le 2FA va falloir que je regarde comment faire ( du moins comprendre ce qu'ils veulent par  changer de 2FA. Si tu peux m eclairer, ca serait cool 😉👍
legendary
Activity: 1260
Merit: 1046
February 24, 2017, 07:51:00 AM
#3
Merci pour le lien sur leur blog : je n'y vais jamais et je ne comprends pas qu'il n'y ai rien sur leur site.

En substance, ils te demandent de changer ton password, voire ton 2FA et ton code API si tu en as.
legendary
Activity: 1245
Merit: 1027
February 24, 2017, 07:43:47 AM
#2
Hello,

J ai egalement recu ce mail. Il y a bien un article sur le blog.
http://blog.kraken.com

Je ne suis pas tres fort en anglais, et je ne suis pas sur de bien saisir.

Si quelqu un peut me traduire le mail ou article sur le blog, je lui en serai reconnaissant !

legendary
Activity: 1260
Merit: 1046
February 24, 2017, 07:30:58 AM
#1
Je vous avoue que je ne savais pas trop où mettre ce topic...

J'ai reçu un courriel de Kraken sur une faille de sécurité du service CloudFlare qu'ils utilisent pour la protection DoS.
Ce mél m'invite à changer mon password.2FA...
J'imagine que d'autres l'ont également reçus.

Par contre je suis étonné de ne rien voire sur le site Kraken au sujet de cette alerte...
A priori, pas de lien vérolé dans le mél (de toute je n'utilise pas les liens de courriels), mais je ne vois pas pourquoi un service de protection contre les DoS pourrait avoir accès aux mots de passe/2FA, même s'il est buggé...

Vous en pensez quoi ?

Edit : je viens de vérifier l'adresse de l'expéditeur et c'est bien celle qu'utilise Kraken pour communiquer habituellement.
Pour CloudFlare, par contre, c'est assez obscur et tout est dans le non dis : ce qui est dis c'est qu'il est utilisé pour se protéger contre le DoS et dans ce cadre il n'y a aucune raison d'accéder à nos données mot de passe. Par contre, il est mentionné également, sans les citer "d'autres services" et là, tout est possible et si Kraken s'amuse à donner accès à nos mots de passe à des tiers, leur niveau de sécurité me semble proche de zéro...

Jump to: