Piratage « Sharty » de 4chan et fuite des e-mails des janitors

 (knowyourmeme.com)
1 points par GN⁺ 2025-04-16 | 1 commentaires | Partager sur WhatsApp
  • En avril 2025, la communauté Soyjak.Party a affirmé avoir piraté 4chan, provoquant la restauration du board /QA/ et une fuite des e-mails des janitors
  • La vulnérabilité clé se trouvait dans le code PHP obsolète du backend de 4chan et dans des fonctions MySQL qui ne sont plus prises en charge
  • Parmi les données divulguées figuraient le code source de yotsuba.php, les archives du board privé des janitors (/j/) et une liste d’e-mails comprenant trois adresses en .edu
  • Certains internautes affirment qu’une adresse en .gov figurait également dans la fuite, mais cela n’a pas été confirmé
  • L’affaire s’est rapidement diffusée et a fait l’objet d’analyses sur diverses plateformes comme X (ex-Twitter), Reddit et KiwiFarms

Aperçu du piratage de 4chan

  • « April 2025 4chan Sharty Hack And Janitor Email Leak » désigne un piratage du site 4chan survenu à la mi-avril 2025
  • La communauté Soyjak.Party a revendiqué l’attaque, restauré le board /QA/ supprimé et divulgué les e-mails des janitors de 4chan
  • Le script central yotsuba.php a été désigné comme principal vecteur du piratage — ce script gère la soumission des messages et le traitement des signalements
  • Certaines adresses e-mail incluaient un domaine .edu, et des affirmations sur la présence d’adresses .gov ont aussi circulé, sans confirmation

Origine du piratage

  • Le piratage a été mentionné pour la première fois le 14 avril 2025 par un utilisateur anonyme de la communauté Soyjak.Party
  • Cet utilisateur a publié des données fuitées comprenant le contenu du board /j/, le code complet de yotsuba.php et la liste des e-mails des janitors
  • Par la suite, Coberald, un utilisateur de KiwiFarms, a publié une copie du code source de 4chan
  • Un utilisateur nommé Tofflenheim a partagé un lien vers les archives des messages du board /j/

Propagation de l’affaire

  • Sur X, l’utilisateur @Priniz_twt a été le premier à publier sur l’affaire le 14 avril, le jour même, obtenant plus de 5 000 likes
  • L’utilisateur @_yushe a attiré l’attention en partageant des captures d’écran de la page d’administration de 4chan et une analyse de yotsuba.php
  • Selon @_yushe, l’utilisation d’une ancienne version de PHP et de fonctions de base de données désormais non prises en charge serait la principale cause du piratage
  • Un autre utilisateur, @LumpyTheCook, a indiqué que le compte opérateur de 4chan (Hiro) avait été compromis, entraînant une fuite d’informations comprenant des coordonnées et des journaux de discussion
  • Des publications liées à l’affaire sont également apparues sur le subreddit /r/greentext de Reddit, et l’incident s’est rapidement propagé sur l’ensemble du web

À lire aussi

1 commentaires

 
GN⁺ 2025-04-16
Avis sur Hacker News
  • Après enquête sur l’exploit utilisé par le hacker, il est apparu que certains boards autorisaient l’upload de fichiers PDF sans vérifier qu’il s’agissait bien de véritables PDF. Les PDF envoyés étaient transmis à une version 2012 de Ghostscript pour générer des miniatures, et l’attaquant a trouvé une vulnérabilité lui permettant d’obtenir un accès shell en envoyant un PDF contenant les commandes PostScript appropriées
  • J’ai l’impression que beaucoup de gens confondent /pol/ avec l’ensemble du site. J’aimais bien parcourir des boards sfw comme /tg/ (médias de jeux de table), /ck/ (cuisine) et /fit/ (fitness). Entre 2015 et 2019, j’ai eu de longues discussions sur les suites de SW sur /tv/. Le public était étonnamment varié, et grâce à l’anonymat, les utilisateurs donnaient des réponses plus ciblées. Après la disparition de bodybuilding.com, les blue boards donnaient l’impression d’être le dernier bastion du vieil Internet
  • Les opinions sur 4chan ici sont très intéressantes. L’environnement actuel des réseaux sociaux, du doomscrolling et du partage de mèmes est devenu si omniprésent à l’échelle mondiale qu’il est plus difficile à distinguer que 4chan, et à certains égards pire encore. Quand l’usage des téléphones de type iPhone s’est généralisé au début des années 2010, on a eu l’impression que 4chan avait quitté sa page d’accueil pour se répandre dans le monde entier
    • Je me souviens que les utilisateurs de 4chan avaient plus d’honneur que les internautes d’aujourd’hui. Par exemple, l’esprit "Not your personal army" de 4Chan contraste avec le doxing quotidien et les chasses aux sorcières du type « appelez son employeur ! » menés par de gros comptes sur IG/Tiktok/etc.
    • L’environnement moderne des réseaux sociaux est devenu bien plus chaotique, nuisible et effrayant que 4chan. Éviter les images explicites sur la page Explorer d’Instagram est plus difficile que sur 4chan, et la popularisation des créateurs OF a fait disparaître les frontières sur l’ensemble des réseaux. Le DOXXING n’est plus condamné, il est désormais normalisé. Les mèmes ne sont plus uniques ni drôles, ils sont devenus plus marchandisés
  • Si vous avez pleuré la disparition du « vieil Internet », cela en faisait aussi partie, et cela pourrait maintenant disparaître lui aussi
    • Même le titre est assez en dessous de la réalité
    • Les adresses personnelles et les coordonnées professionnelles des administrateurs ont fuité (les administrateurs étaient des salariés)
  • « Un site web qui tourne sur un logiciel vieux de 15 ans s’est fait pirater de nouveau » est l’une des phrases les plus tristes qui soient
  • Ma relation officielle avec 4chan a pris fin en 2010, mais je connais encore environ un tiers des noms, et je pense que la fuite est authentique
  • Le post KnowYourMeme contient des détails et du contexte supplémentaires. Le plus intéressant, c’est qu’il y avait un filtre/convertisseur de mots qui transformait SMH en BAKA et TBH en DESU
  • 4chan a fait beaucoup de mauvaises choses, mais il a au moins apporté une vraie contribution à la science. En particulier, il a contribué à la recherche sur les superpermutations, et ces travaux ont été cités par de vrais universitaires. C’est ainsi qu’il faudrait s’en souvenir
  • 4chan reflète les aspects dégradés et extrêmes de l’humanité. Twitter a repris le rôle de « méchant d’Internet », mais les pommes pourries postent aux deux endroits
    • 4chan accueille de façon étrangement ouverte les homosexuels et les personnes transgenres. J’y ai vu du porno gay et trans côte à côte avec des posts de porno bbc et bwc. Voir des amateurs de porno trans ouvertement racistes est étrange
    • J’aimais les petits boards qui n’étaient ni /pol/ ni /b/. J’aimais des boards comme /boardgames/, /dyi/, /international/. J’aimais l’humour surréaliste complètement absurde, les greentexts qui t’entraînaient sur des chemins étranges et fascinants
    • J’aime être anonyme sur Internet
  • En 2025, héberger une copie de phpMyAdmin derrière une authentification HTTP de base, c’est vraiment chercher les ennuis