Bonjour à tous,
Nous avons appris tard samedi soir sur discord un problème concernant les joueurs du serveur. Il est désormais temps de vous en faire part de manière publique.
Que s'est-il passé ?
Il s'avère que des extraits des logs du serveur étaient présent sur le site "https://pastebin.com" à la vue de tous suite à une simple recherche sur ledit site.
Que faisaient ces extraits sur pastebin ?
Il arrive que le staff ait à discuter d'éventuelles sanctions ou surveillances en se basant sur les logs du serveur. Il est donc arrivé que des passages des logs journaliers soient partagés entre nous dans le staff. Afin de les partager (suivant la taille du log choisi) nous avons alors utilisé le site pastebin pour sa praticité. Les logs devenant alors un support de travail pour le staff afin de mieux juger une situation donnée et en discuter.
Que contiennent ces passages étudiés ?
Eh bien... "tout" ce qu'il se passe sur le serveur quand il s'agit des logs issus de la console du serveur. Et moins lorsqu'il s'agit de logs personnels issus des membres du staff.
Dans un log du serveur vous retrouverez les commandes effectuées, les MP, les adresses IP lors de la connexion, etc.
Voici un exemple concret (certains se reconnaitront peut être , j'ai fait quelques modifs):
[13:24:38] [Server thread/INFO]: machin[/69.42.42.666:12345] logged in with entity id 33381 at ([monde2]-182.5, 106.0, 250.5)
[13:24:38] [Server thread/INFO]: machin joined the game
[13:24:38] [pool-34-thread-1/INFO]: [Essentials] Création d'une configuration vierge : /home/serveur1/minecraft/plugins/Essentials/userdata/ac8f6f6c48174f9f9e7dca9c313541f7.yml
[13:24:39] [Server thread/INFO]: machin has made the advancement [Getting an Upgrade]
[13:24:42] [Async Chat Thread - #2/INFO]: truc : Bienvenue !
[13:24:46] [Async Chat Thread - #2/INFO]: bidule : bvn
[13:24:58] [Async Chat Thread - #2/INFO]: lui : Bienvenue
[13:24:58] [Async Chat Thread - #2/INFO]: Elle : Bonjour !
[13:25:02] [Async Chat Thread - #2/INFO]: machin : bonjour
[13:25:03] [Server thread/INFO]: CONSOLE issued server command: /broadcast Guide vidéo pour bien débuter sur le serveur : \&3\&n http://guidevideo.play-mc.fr/
[13:25:20] [Async Chat Thread - #2/INFO]: machin : merci
[13:25:26] [Async Chat Thread - #2/INFO]: truc : /m joueur1 salut, tu vends de la terre ?
[13:25:35] [Async Chat Thread - #2/INFO]: joueur1 : /r oui, un diamant par bloc !
[13:25:39] [Async Chat Thread - #2/INFO]: truc : /r Ok, j'en prends 42 stacks
[13:25:39] [Async Chat Thread - #2/INFO]: joueur1 : il s'est encore noyé
[13:25:42] [Async Chat Thread - #2/INFO]: truc : Ah
[13:25:56] [Async Chat Thread - #2/INFO]: joueur1 : c'est problématique
[13:26:11] [Server thread/WARN]: machin was kicked for floating too long!
[13:26:11] [Server thread/INFO]: machin lost connection: Flying is not enabled on this server
[13:26:11] [Server thread/INFO]: machin left the game
[13:26:11] [Server thread/WARN]: handleDisconnection() called twice
[13:26:14] [Async Chat Thread - #2/INFO]: bidule : tu peux lui set un home ?
[13:26:17] [User Authenticator #9/INFO]: UUID of player machin is lecodedujoueur
[13:26:17] [Server thread/INFO]: machin[/69.42.42.666:12345] logged in with entity id 40819 at ([monde2]-227.43259166947288, 65.78947876269956, 152.56219960875788)
[13:26:17] [Server thread/INFO]: machin joined the game
[13:26:33] [Async Chat Thread - #2/INFO]: [GriefPrevention] Muted pre-movement chat.
[13:26:33] [Async Chat Thread - #2/INFO]: machin : je me suis fait kick pour fly xDD
[13:26:39] [Async Chat Thread - #2/INFO]: joueur1 : non le tchat moddé du serveur ne fonctionne pas avec ma librairie
[13:26:48] [Async Chat Thread - #2/INFO]: [GriefPrevention] Muted repeat message.
[13:26:48] [Async Chat Thread - #2/INFO]: machin : je me suis fait kick pour fly xDD
[13:26:59] [Async Chat Thread - #2/INFO]: machin : alors que je courais
[13:27:11] [Async Chat Thread - #2/INFO]: joueur1 : dans mon code j'ai mis un console log() pour chaque message dans le tchat mais y a jamais rien qui est log
[13:27:26] [Async Chat Thread - #2/INFO]: joueur1 : il reconnait clairement pas l'event tchat
[13:28:08] [Async Chat Thread - #2/INFO]: bidule : il ne fait que sauter
[13:28:18] [Async Chat Thread - #2/INFO]: bidule : ah non
[13:28:28] [Server thread/INFO]: sirlinium issued server command: /give sirlinium diamond 1000
[13:28:35] [User Authenticator #10/INFO]: UUID of player joueur2 is ac8f6f6c48174f9f9e7dca9c313541f7
[13:28:35] [Server thread/INFO]: joueur2[/13.007.42.666:56789] logged in with entity id 45955 at ([ressourcejuin]-549.4485251311075, 62.07319392988893, 1809.3428901708603)
[13:28:35] [Server thread/INFO]: joueur2 joined the game
[13:28:40] [Server thread/INFO]: joueur3 lost connection: Timed out
[13:28:40] [Server thread/INFO]: joueur3 left the game
En quoi c'est embêtant ?
Car ces logs dévoilent des messages privés entre joueurs ou entre staff. Mais également l'adresse IP que vous utilisiez.
Qu'avons-nous entrepris ?
Dès l'annonce de la faille nous avons choisi de prendre les choses en main de manière immédiate. Nous avons également, après avoir prévenu, supprimé les messages sur discord. En effet, nous voulions limiter la casse et éviter que tout le monde se rue sur lesdits logs.
Nous sommes ensuite partis à la chasse aux leaks (merci à ceux qui ont aidé !) afin de les "report" au site pastebin. Dans la majorité des cas les documents report ont été supprimés dans les heures qui suivaient et indiquent désormais ceci:
Tout les documents que nous avons trouvés sont supprimés.
Combien de joueurs sont directement concernés ?
Environ une 40aine de près ou de loin apparaissent soit dans les discussions, soit dans des mp, ip etc, staff et joueurs. Tout cela sur une 20aine de logs plus ou moins anciens environ.
Quels sont les risques éventuels ?
Eh bien, que ce que vous avez dit en MP soit dévoilé. Dans la plupart des cas cela ne pose pas de soucis car la majorité d'entre vous n'y donne aucune information personnelle.
Que votre IP du moment ait été rendue publique. De manière générale ce n'est pas un trop gros problème, surtout si vous avez votre pare-feu activé, un antivirus et un ordinateur à jour. De plus, habituellement, cette adresse IP change au redémarrage de votre box voire de manière régulière. Il faut aussi savoir que le moindre site que vous consultez peut la récupérer et qu'il s'agit d'une trace de base que vous laissez derrière vous sur internet.
Que votre UUID minecraft soit dévoilé, en soit... il est déjà public, par exemple le mien est ac8f6f6c48174f9f9e7dca9c313541f7.
Pourquoi nous sommes très embêtés d'avoir découvert cela ?
Car nous sommes soucieux de votre bien être et de la confiance que vous nous portez tout simplement ! Notre but n'est pas de divulguer vos MP ou toute autre information. C'est pour cela que le staff ayant accès aux informations sensibles est restreint au maximum et que nous faisons de notre mieux pour maintenir votre confidentialité.
Notre erreur a été de faire confiance à pastebin sans se poser les questions basiques de sécurité sur la diffusion de ces données.
Nous prenons bien entendu acte et veillerons à utiliser un moyen sécurisé de partage de ces données potentiellement sensibles dès à présent.
Je souhaite exprimer au nom de l'ensemble de l'équipe nos regrets les plus sincères suite à cette situation. Nous continuerons évidemment à veiller à la suppression des données éventuellement diffusées pouvant vous concerner.
Nous sommes par ailleurs extrêmement désolés au près des joueurs directement ou indirectement touchés par ces fuites et les prions d'accepter nos excuses. Il s'agit d'une mauvaise expérience qui nous rappelle -hélas- la sensibilité des informations numériques que nous possédons et diffusons, que ce soit au niveau du serveur ou au niveau personnel.
