Un piratage de la base de données de Nintendo ?, Réactions à la publication du 21/04/2020

[Lionel]

Ars Technica rapporte que nombreuses personnes ont eu la surprise de recevoir un avis des serveurs Nintendo selon lequel leur compte avait été utilisé depuis un ordinateur quelque part aux Etats-Unis pour une connexion via Firefox. Un sondage a montré que ces connexions venaient toutes d'un compte Nintendo Network.
Sur le papier il n'y a pas grand chose à voler sur un tel compte. Toutefois il est possible dans certaines conditions de générer des achats et obtenir un bon d'utilisation valable sans autre forme de procès sur n'importe quelle console.

On ignore s'il y a faille de sécurité ou si une base de donnée volée ailleurs a été testée sur les serveurs Nintendo. Dans tous les cas il serait préférable de changer son mot de passe et d'activer l'authentification à deux facteurs pour plus de sécurité.

[MàJ] Nintendo a reconnu un problème ayant touché 160 000 comptes. Pour y mettre fin elle a désactivé l'authentification via le Nintendo Network.

Lien vers le billet original

[smy]

L’authentification à deux facteurs sur Nintendo est gérée par Google Authenticator. Donc non merci !

[SartMatt]

L’authentification à deux facteurs sur Nintendo est gérée par Google Authenticator. Donc non merci !

Google Authenticator est juste une application implémentant deux normes de mots de passe à usage unique (RFC 6238 et RFC 4226).

Si c'est la crainte d'envoyer les comptes à Google qui te gêne, sache que ce n'est pas le cas, ça fonctionne intégralement en local sur ton appareil, sans remonter les comptes à Google.

Si c'est le nom Google qui te gêne, il y a plein d'autres applications implémentant ce protocole. Personnellement j'utilise FreeOTP de Red Hat sous Android, qui a l'avantage de ne pas demander l'autorisation d'accès au réseau, ce qui garanti l'absence de remontée des comptes vers un serveur, et WinAuth sous Windows. Pour iOS, FreeOTP est également disponible. Sur macOS, il y a par exemple Authenticator for Mac.

Je suis d'ailleurs très surpris par cette banque virtuelle qui ne te demande même pas de créditer ton compte, juste payer à date avec ta CB à l'échéance qui, en plus, est à trente jours.

Avec la marge que PayPal se fait sur les transactions, ils ont pas besoin de faire fructifier des dépôts ^^

Bon ! j'ai un vrai doute que je n'arrive pas à lever : quand est-ce que Paypal gagne des sous en gérant mes dépenses ?

En plus des frais de transaction mentionnés par scoch (qui vont de 3.4% + 35cts à 1.4% + 35cts selon le volume mensuel), PayPal prélève aussi une commission sur la conversion de devise quand il y en a (par exemple, si le vendeur affiche un prix en € aux européens mais demande à PayPal de recevoir des $, PayPal prend 3.5% de plus sur la transaction... l'autre option pour le vendeur étant d'afficher en $ pour tout le monde, auquel cas c'est l'acheteur qui paiera la commission de change, soit via PayPal (dans ce cas, PayPal débite la CB en €), soit auprès de sa banque (dans ce cas PayPal débite la CB en $)... par expérience la seconde option est beaucoup plus avantageuse, PayPal se sucrant pas mal sur les frais de change...
Le seul cas où PayPal ne gagne pas d'argent, c'est sur les transactions via PayPal.me entre deux utilisateurs venant du même pays. Ça c'est le produit d'appel pour inciter à utiliser PayPal.

Ce message a été modifié par SartMatt - 27 Apr 2020, 12:18.

[smy]

L’authentification à deux facteurs sur Nintendo est gérée par Google Authenticator. Donc non merci !

Google Authenticator est juste une application implémentant deux normes de mots de passe à usage unique (RFC 6238 et RFC 4226).

Si c'est la crainte d'envoyer les comptes à Google qui te gêne, sache que ce n'est pas le cas, ça fonctionne intégralement en local sur ton appareil, sans remonter les comptes à Google.

Si c'est le nom Google qui te gêne, il y a plein d'autres applications implémentant ce protocole. Personnellement j'utilise FreeOTP de Red Hat sous Android, qui a l'avantage de ne pas demander l'autorisation d'accès au réseau, ce qui garanti l'absence de remontée des comptes vers un serveur, et WinAuth sous Windows. Pour iOS, FreeOTP est également disponible. Sur macOS, il y a par exemple Authenticator for Mac.

Ok, merci. Je vais regarder ça.