Le blog d'infos Alphaville Herald vient de lever un sacré lièvre et enfoncer une sacré épine dans le pied (bot) de modularsystem.

Il semblerait que la sécurité du site internet modular est était cassé, cependant, cette seule nouvelle n'était pas sans une réelle importance, des milliers de sites sont piratés chaque jours (ou des comptes gmail par exemple... >_<), la ou tout ceci devient vraiment sérieux c'est quand on découvre que modularsystem enregistrait et stockait tout à fait illégalement des noms avatars, adresses IP, et des informations de géo-localisation pour les joueurs qui se sont inscrit sur Second Life à partir du site ModularSystems.com.

Les documents comprennent une fuite des échanges de courriels, une décharge partielle de la base de données secrète, le code source PHP d'une parties d'un datamine "application", et une photo des développeurs d'Emerald à une réunion avec Linden Lab avec le CEO Linden M, Marty Linden conseillé juridique du Labs, et plusieurs autres personnels de la firme de Burbank.

Il apparaît malheureusement que les documents cités plus hauts ont étaient propagés via un site de partage de fichiers en ligne (type uploading/rapidshare/megaupload) ce qui ne va pas du tout rassurer des résidents en manque chronique de confiance envers Linden Labs et aujourd'hui Emerald.

Ce qu'il faut voir selon alphaville est que SecondLife possède une très forte communauté Roleplay sur un thème fortement sexué, il apparaît donc très clairement le désarrois des joueurs/résidents qui verrait leurs adresses/noms/etc apparaître en clair dans les mains de personnes vraiment mal intentionnées. De mon coté ce n'est pas tant la possession qu'en ferait une personne mais c'est bien le fait que Modular a complètement dévié et à enregistrer des informations puis les as stockés, informations sensées ne jamais êtres sur leurs base de données.

Selon un échange d'e-mail avec Hazim Grazov, résident de SecondLife [texte intégral ci-dessous], le personnel de Linden Lab semblait le penser aussi.
Soft Linden a déclaré: «Je travaille avec  le VP sur la meilleure façon de régler ce problème. Ceci est extrêmement grave  ».

Voici à quoi ressemble l'un de ces documents

Adresse IP, nom, UUID, type de viewers, connexion, tout ceci récupérer vie le RegAPI de SL.

Soft Linden trouvent un écho dans un e-mail en date du 16 avril, dans lequel Joe Linden dit à Grazov, «Nous considérons cet événement comme très grave et nous n'avons pas terminé nos discussions avec eux pour les prochaines étapes, les modifications, la vie privée et les communications avec leurs utilisateurs. Je ne sais pas quelle est la source du fichier et d'ou elle vient, mais si vous le savez, j'espère vous encouragez à ne pas le communiqué publiquement."
Joe conclut en disant: "Merci encore pour nous avoir fait prendre conscience de cela. Rassurez-vous, nous ne traitons pas des événements comme cela à la légère"
C'est à espérer en tout cas...

En attendant il semblerait qu'un dénommé "JCool410" (Fractured Crystal sur Second Life) est fait des recherches sur un datamine (sur le terme Tizzy) et n'ai pas recu le mémo d'abstinence de modular

Il semblerait également que ce compte est était compromis (entendre par la, piraté).
Interrogé via Skype samedi si il y avait eu violation de la sécurité sur le site modularsystems.com, Jcool - qui est connue sous le nom de Fractured Crystal dans Second Life - a refusé de commenter.

Voici un exemple de géolocalisation effectué avec ce datamine

Toujours d'après le reporter d'alphaville : "Bien qu'il soit possible que certains des documents ont été fabriqués, je peux confirmer au moins deux messages e-mail dans les documents révélés sur Emerald sont légitimes - les deux sont des messages de discussion que j'ai envoyé à Fractured Crystal alors qu'il était hors ligne et qui ont été automatiquement transmis à l'e-mail."

La ou on commence à rentrer dans le monde du contre-espionnage Vs le KGB Vs la DST Vs la CIA, en bref très X-Files... c'est que tout ceci serait en fait lié a l'affaire de l'université de Woodbury sur Second Life. En effet et toujours selon Alphaville Les questions que Hazim Grazov a soulevé lors du meeting des Devs d'Emerald sur les données et l'exploitation des données collectés sur SL à Joe et Soft Linden conduira certainement à la spéculation que le récent bannissement de la Woodbury University of Second  Life  était liée à des fuites d'Emerald. M. Grazovour semble avoir passé du temps avec les membres du groupe Woodbury dans Second Life, et il y avait une confrontation entre certains membres de la faction Woodbury et fractured Crystal (aka Jcool410) peu avant que Linden Lab est virer  la "soviétique" Woodbury et ses Sims ainsi que leurs dirigeants de la Grid.

Pour infos, cette fameuse Woodbury aurait était le point de base de multi-grieffers lié à une idéologie de révolution Bolchevik. En bref, Linden Labs après avoir vu "l'annexation" de sims Estonienne par la Woodburyour raisons de grieffing aurait fichu tout ce beau monde à la porte. Rien à ce jour n'a était prouvé la dessus, d'ailleurs une Call Action est intenté contre Linden Labs à ce sujet.

Tout ceci n'est que pure spéculation bien entendu mais cela révèle au moins une chose, que ModularSystem collecte des données illégales sur ses serveurs (les fameux bridges), qu'ils ont dans leur équipe des types vraiment TRES louche au passé de grieffers/builders de viewers illégaux et qu'enfin, à la charge de Linden Labs, ont cacher tout simplement cette ENORME faille de sécurité pour couvrir leurs ptits culs.

Voici la retranscription complète de l'échange mails avec Linden Labs, ou Hazim exprime son étonnement a JoeSoft Linden sur certains fonction de l'ApiReG ainsis que sur la facilité de la collecte d'infos qui sont sensées rester cryptés... et

————————————————————————————–

Subject: Re: Someone told me you might want to see this RE Emerald…
Date: Fri, 16 Apr 2010 14:05:22 -0700
From: Joe Linden <joe@lindenlab.com>
To: Hazim Gazov <hazim.gazov@gmail.com>
Cc: Soft Linden <soft@lindenlab.com>

We consider this a very serious event and have not finished our discussions
with them as to next steps, privacy policy modifications, and communications
with their users.

I don’t know what the source of the file was, but if you know, I hope you
will encourage them not to release it publicly.

By the way, we determined that yours was the only voice account that had
been disabled. Is voice working for you again?

Thanks again for making us aware of this. Rest assured, we do not treat
events like this lightly.

Regards,
– Joe Miller

On Fri, Apr 16, 2010 at 1:36 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:

> I heard the explanation Jay gave as to why he had the info, and I don’t buy
> it.
>
> The database allowed administrators to quickly determine if a new account
>> was a alt account of a griefer that had previously attacked the sim. It also
>> stored the IP used on registration portal on the website when you register a
>> avatar because avatars created on that portal usually logged directly into
>> Emerald Point and were the fastest route for griefing the sim. After it was
>> demonstrated that this was a effective solution to the problem, several
>> nodes were placed in a few other sims for short periods of time
>>
>
> Since when do you need GeoIP functionality to determine if someone is an
> alt? From what I heard they had rather large GeoIP files used to obtain an
> approximate location from an IP address and had the code built into the
> system:
>
> From datemine.web.php:
>
>> $gi = geoip_open("geoip/GeoLiteCity.dat",GEOIP_STANDARD);
>> $giorg = geoip_open("geoip/GeoIPOrg.dat",GEOIP_STANDARD);
>> $giisp = geoip_open("geoip/GeoIPISP.dat",GEOIP_STANDARD);
>> $tip = $_GET['ip'];
>>
>> $record = geoip_record_by_addr($gi,$tip);
>>
>> /*$netspeed = geoip_country_id_by_addr($gi,$tip);
>> if ($netspeed == GEOIP_UNKNOWN_SPEED)$netspeed =
>> ‘Unknown’;
>> }else if ($netspeed == GEOIP_DIALUP_SPEED)$netspeed =
>> ‘Dailup’;
>> }else if ($netspeed == GEOIP_CABLEDSL_SPEED)$netspeed =
>> ‘Cable/DSL’;
>> }else if ($netspeed == GEOIP_CORPORATE_SPEED)$netspeed =
>> ‘Corporate’;
>> else $netspeed = ‘???’;*/
>>
>> $org = geoip_org_by_addr($giorg,$tip);
>> $isp = geoip_org_by_addr($giisp,$tip);
>>
>
> I sincerely hope something more than a slap on the wrist is doled out.
>
> I’ve also heard that my IP was sent as the person who "hacked" into their
> website, that’s bull and they should pony up some logs if they want to say
> that. I wouldn’t be surprised if they just pulled up the IP from that
> database.
>
> On Thu, Apr 15, 2010 at 11:32 PM, Hazim Gazov <hazim.gazov@gmail.com>wrote:
>
>> Unfortunately, I wasn’t the first one to get this, so I don’t think I can
>> do much to limit the sharing of it… however AFAIK very few people have one
>> with full IP addresses, most people have one with the last two blocks
>> censored.
>>
>>
>> On Thu, Apr 15, 2010 at 6:05 PM, Soft Linden <soft@lindenlab.com> wrote:
>>
>>> Yep, I see that, and I see the regapi collection. I’m working with a
>>> VP on how to best deal with this. This is extremely serious.
>>>
>>> Do you know how widely this has been spread, and could I trust you to
>>> limit further sharing?
>>>
>>> On Thu, Apr 15, 2010 at 12:25 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> > It’s being retained for the purpose of getting an SL user’s RL data
>>> > arbitrarily.
>>> >
>>> > On Thu, Apr 15, 2010 at 4:22 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> >>
>>> >> They’re not simply being retained, look at
>>> >> secondlifeutility/datamine.web.php
>>> >>
>>> >> On Thu, Apr 15, 2010 at 4:18 PM, Soft Linden <soft@lindenlab.com> wrote:
>>> >>>
>>> >>> I appreciate the heads up, Hazim, and I’m disappointed to see that the
>>> >>> IP addresses are being retained. I’ll let the appropriate Lindens
>>> >>> know.
>>> >>>
>>> >>> On Thu, Apr 15, 2010 at 11:57 AM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> >>> >
>>> >>> >
>>> >>> > ———- Forwarded message ———-
>>> >>> > From: Hazim Gazov <hazim.gazov@gmail.com>
>>> >>> > Date: Thu, Apr 15, 2010 at 3:50 PM
>>> >>> > Subject: Re: Someone told me you might want to see this RE Emerald…
>>> >>> > To: joe@lindenlab.com
>>> >>> >
>>> >>> >
>>> >>> > and I forgot the attachment, spectacular
>>> >>> >
>>> >>> > On Thu, Apr 15, 2010 at 3:49 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> >>> >>
>>> >>> >> Take a look at the SQL file and regapi/index.php at line 97…
>>> >>> >
>>> >>> >
>>> >>> >
>>> >>
>>> >
>>> >
>>>
>>
>>
>

Je ne sais pas pour vous mais pour ma part ModularSystem (je ne mentionne bien évidement pas ses bots Onyx qui feront l'objet d'un autre article) à perdue une grande partie de sa crédibilité.