Salut,
J’écris ce mail suite à un mail reçu sur une de mes adresses mails dédiées au collectif chatons.
Afin de savoir ce que deviennent mes mails, j’utilise une technique de personnalisation des mails qui me donne des indices sur la façon dont sont transférées les données perso à des tiers.
A mon étonnement, j’ai reçu un mail le 28/11, soit disant une alerte d’un chercheur en sécurité : « DMARC RECORD misconfiguration Leads to email spoofing ».
Ce qui m’étonne c’est que ce mail m’expliquant que je pourrais avoir une meilleure politique DMARC et espérant une récompense (bounty) pour sa gestion éthique me parle d’un POC d’usurpation d’identité avec un mail que je n’utilise que dans le cadre des outils chatons (site, forum, wiki, l’ancienne ML, peut être des framadates, peut être une forge git ?)…
Bref, il est possible que ce mail soit publié/accessible quelques part et que donc ce soit aussi le cas des vôtres.
J’ai peut être raté mon coup sur une forge git ou alors il est possible d’accéder aux mails de l’ancienne ML via les archives ? Quelques soit l’explication, je me suis dit qu’en parler ici permettra peut être d’identifier si d’autres personnes ont aussi reçu ce mail « DMARC RECORD misconfiguration Leads to email spoofing ».
J’ai eu des mails comme ça aussi il y a quelques mois sur l’alias security@ d’une infra de projet libre que je gère. Le chercheur n’a pas répondu à mon mail quand j’ai dit « on a pas de bug bounty » et il a continué, donc j’ai juste décidé d’ignorer. Et je sais que je suis pas le seul, mais je n’arrive plus à trouver qui a eu le souci (peut être un collègue).
Le premier mail que j’ai eu était le 31 octobre 2021, puis des relances le 8 novembre, le 23 décembre, le 22 janvier. Et c’est signé Bruno Official (ce qui explique pourquoi on en parle pas ).
Il a aussi dit « oula, y a un clickjacking sur le site wordpress », en testant sur une page autre que la page de login (qui a une protection spécifique pour ça…).
Oui enfin sur security@ c’est classique en effet. Moi ce qui m’a surpris c’est que c’est un mail que je réserve à des processus d’inscriptions sur les sites en chatons.org… Ce qui sous entends qu’un bot est tombé dessus, donc qu’on a peut être une liste de nos mails publiés quelques part.
Pour ma part j’utilise également des alias spécifiques à chaque usage, et je n’ai jamais reçu de mails sur mes adresses dédiées au collectif chatons, à framasoft ou des outils d’autres chatons.
Ce matin j’ai reçu un spam à mon adresse chatons que je n’utilise que sur le drupal, le forum, le wiki et le nextcloud, il doit y avoir un trou quelque part.