Quicky

May 2, 2013

Un bug dans l’interface de management OVH a été utilisé pour compromettre bitcoin-central :

Un email est envoyé à l’adresse email de l’identifiant avec un URL unique à cliquer. Cet URL comporte 21 caractères générés au hasard. … Les 2 fonctions random sur 3 que nous avons utilisé dans ce code ne générait pas une vraie chaîne au hasard.

C’est fail. Faut-il lire “fonctions random” comme “fonctions de hashage” où en fait, token = hash(ip_addr) + hash(username) + hash(timestamp) ?

Là où c’est encore plus fail, c’est que bitcoin-central n’utilisait pas du chiffrement de disque (luks). Ok, c’est chiant que les serveurs ne soient pas capable de démarrer tout seul (car il faut donner la passphrase au boot) mais vu l’argent en jeux, ça aurait valu le coup…