Sécurité
Des données bancaires se logaient sur le site entreparticuliers.com
Publié le 08-04-2008 dans le thème Banque
Pays : International - Auteur : Damien Bancal
Pub : 100 DVD vierges déjà pour 22,90 EUR
Pendant plusieurs mois, les données bancaires des clients du site entreparticuliers.com étaient en accès libre via une page de ce portail immobilier. Une faille informatique, découverte par un blogueur, permettait d'accéder aux informations des cartes bancaires, y compris au fameux cryptogramme, le CVV (ou CVV2). La faille a été rapidement corrigée. Comme l'indique 01net, aucune fraude n'aurait été décelée.
Mise à jour 09/04 : Un complot contre entreparticuliers.com ? Le PDG du site entreparticuliers.com, Stéphane Romanyszyn, nie dans les colonnes de RUE89, avoir reconnu la faille de son site Internet. Nous avons pu joindre Stéphane Romanyszyn, le 7 avril, après plusieurs mels infructueux, via l'agence de presse (Ketchum) qui se charge de la communication d'entreparticuliers.com. Cette dernière a organisé une conférence téléphonique. Lors de ce rendez-vous, un courrier électronique lui a été envoyé (07/04 à 11:57). Il contenait un lien. Lien qui lui a permis, toujours au téléphone, de constater ce qu'il pensait être une tentative de déstabilisation de la part de blogueurs. Le lien prouvait la présence d'une faille SQL dans le serveur de son site Internet. La faille ayant été corrigée, voici un extrait du lien en question (Nous ne l'affichons pas entièrement, NDR) : http://www.entreparticuliers.com/result.asp?rubrique (...) ,'Crypto%20:%20', (...) AND%20[cb]%20IS%20NOT%20NULL)--. En gros, une requête SQL injection qui exploite une faille du serveur. Une variable n'avait pas été corrigée et la requête exploitait la dite faille.
Ce contact téléphonique a donc permis à Stéphane Romanyszyn de découvrir que les captures écrans réalisées par un blogueur, elles affichaient des données bancaires diffusées par le site entreparticuliers.com, n'étaient pas des faux. Il n'a jamais reconnu la faille ? Pourquoi alors la page result.asp a été corrigée depuis ? La variable baptisée 'rub' a disparu comme le prouve la page erreur qui s'affiche à la place.
L'appel téléphonique a apporté la preuve que des informations bancaires étaient bien visibles à partir du site entreparticuliers.com. Et pourtant, Stéphane Romanyszyn indique à rue89 qu'il n'a pas "reconnu la faille (...) et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article (...) Les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage".
Rue89 a retrouvé des clients. Ces derniers confirment bien l'authenticité des données bancaires qui étaient accessibles. L'un d'eux exprime même avoir eu quatre tentatives de piratage, en février dernier. Heureusement, ce client avait utilisé une e-carte bleue. Numéro unique, pour un achat et un montant unique.
Bref, je persiste et je signe. Stéphane Romanyszyn a reconnu la faille, il l'avait devant les yeux. A demandé comment cela était possible et s'est même posé la question à savoir si cela n'avait pas été orchestrée de l'intérieur de son entreprise. Une hypothèse qu'il a lui même évoqué parlant d'un ancien employé parti depuis. Le PDG estime avoir "affaire à un complot". Aucun complot, juste une faille SQL Injection.
# Liens connexes
Le blog Dauran revient sur son "aventure"
Derniers contenus
Faille sur l´Apple Store, un pirate vend la méthode
06-09-2010 à 01:21 - 0 commentaire(s)
Exclusif - Un pirate informatique propose une méthode pour pirater iTunes. Il vent l´accès avant de partir à la retraite.
A lire : ACTUSECU n°26
01-09-2010 à 16:37 - 0 commentaire(s)
0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.
Recherche de stages
01-09-2010 à 15:50 - 0 commentaire(s)
Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011
UbiSoft sauvé des pirates
01-09-2010 à 14:56 - 0 commentaire(s)
Exclusif - Portes ouvertes à pirate dans l´un des serveurs de l´éditeur de jeux vidéo UbiSoft.
Un serveur de l´ONU sauvé des pirates
01-09-2010 à 14:45 - 0 commentaire(s)
Exclusif - Le Food and Agriculture Organization of the United Nations était ouvert aux quatre vents sur Internet.
Le crack de la Ps3 en open source
01-09-2010 à 14:05 - 0 commentaire(s)
Sony fait interdire la commercialisation de la clé usb qui crack sa Playstation 3. Bilan, la méthode open source débarque sur la toile.
Top site, ce que l´HADOPI ne voit pas
01-09-2010 à 13:21 - 1 commentaire(s)
Exclu - Alors que l´Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet prépare ses courriers à l´encontre des copieurs sur le P2P, voici ce que l´HADOPI ne voit pas !
Arnaque à la loterie, des grandes marques Françaises impliquées
01-09-2010 à 12:27 - 0 commentaire(s)
Depuis quelques jours, Maître Sibailly vous annonce 250.000 euros de gain suite à un tirage au sort signé par de grandes marques Françaises.
Sur le même thème : Banque
Le pirate BABd bientôt jugé en France et aux USA ?
Vladislav Horohorinu, le pirate Ukraino-isréalien de données bancaires, diffusait des vidéos de promotions sur Internet pour recruter une armée de carders.
Bug XXL pour le système informatique de la banque Barclays
Des milliers de clients de la 6e banque européenne n´avaient plus accès à leur argent.
Le retour des YesCards ?
Une Yescard, une carte bancaire qui dit toujours oui, utilisée dans la Marne ?
Skimmeurs arrêtés dans le Jura
Deux ressortissants roumains, en possession du parfait nécessaire de petit skimmeur, arrêtés dans l´Est de la France.
Important pirate de données bancaires arrêté
La tête pensante d´un important réseau de piratage de données bancaires arrêté à Nice.
Extradition vers les USA pour avoir volé 9 millions de dollars
Un pirate informatique accusé d´avoir volé pour 9 millions de dollars extradé vers les États-Unis.
Fraude à la carte bancaire dans le Nord
Nouveau piratage de carte bancaire dans le Nord de la France à partir d´un distributeur de billets piégé.
Carders : 12 pirates de cartes bancaires piratés arrêtés
La police italienne a mis fin au business de 12 pirates de cartes bancaires.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
Rechercher dans les Alertes
HackFest.ca
- Intrum Justitia vous réclame une dette ?
- 250 Conseils pour réussir votre site internet...
- Samsung projette de la fausse 3D sur un build...
- Teenage Dream, de Katy Perry, déjà piraté
- Moteur de recherche made in China
- Nouvelle version d´Internet Explorer
- JailbreakMe, c'est fini ! Apple sort l'OS 4...
- Le site de musique en ligne Jiwa.fr ferme
- L'iPad : un outil pour 'Executives'
- Dell sort sa tablette Android en France
- RFU pour Joomla com_remository
- RFI pour 4images 1.7.8
- Injection SQL pour Joomla com_Fabrik
- Injection SQL pour Joomla com_zina
- Injection SQL pour Joomla com_extcalendar
- Injection SQL pour Joomla Yellowpages
- Injection SQL pour Joomla com_neorecruit 1.4
- 6 millions de fichiers malveillants sur le we...
- Injection SQL pour Joomla Spielothek 1.6.9
- Injection SQL pour Joomla com_beamospetition
- Phoenix Exploit Kit 2.0
- Comment savoir que mon ordinateur est infecté...
- Des posts de keyloggers sur des pages Web
- Actualité juridique web du mois de mai 2010
- Actualité juridique web du mois d´avril 2010
- La police tente de pirater des sites Web
- Droit et Internet online
- Les données privées que Myspace possède sur s...
- Les données privées qu´eBay et Paypal possède...
- Internet, la loi et les contributeurs web
Derniers communiqués de presse
A lire : ACTUSECU n°26
0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.
Recherche de stages
Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011
Santé, Internet : la comédie de l´ACTA a assez duré
En plein mois d´août, les négociateurs de l´ACTA se réunissent à nouveau à Washington, pour un round de discussions sur cet accord international anti-contrefaçon.
Découverte de la la dernière version de Fedora
Linux Pratique Essentiel n´15 vous propose une alternative à votre système propriétaire.
