Pendant plusieurs mois, les données bancaires des clients du site entreparticuliers.com étaient en accès libre via une page de ce portail immobilier. Une faille informatique, découverte par un blogueur, permettait d'accéder aux informations des cartes bancaires, y compris au fameux cryptogramme, le CVV (ou CVV2). La faille a été rapidement corrigée. Comme l'indique 01net, aucune fraude n'aurait été décelée.

Mise à jour 09/04 : Un complot contre entreparticuliers.com ? Le PDG du site entreparticuliers.com, Stéphane Romanyszyn, nie dans les colonnes de RUE89, avoir reconnu la faille de son site Internet. Nous avons pu joindre Stéphane Romanyszyn, le 7 avril, après plusieurs mels infructueux, via l'agence de presse (Ketchum) qui se charge de la communication d'entreparticuliers.com. Cette dernière a organisé une conférence téléphonique. Lors de ce rendez-vous, un courrier électronique lui a été envoyé (07/04 à 11:57). Il contenait un lien. Lien qui lui a permis, toujours au téléphone, de constater ce qu'il pensait être une tentative de déstabilisation de la part de blogueurs. Le lien prouvait la présence d'une faille SQL dans le serveur de son site Internet. La faille ayant été corrigée, voici un extrait du lien en question (Nous ne l'affichons pas entièrement, NDR) : http://www.entreparticuliers.com/result.asp?rubrique (...) ,'Crypto%20:%20', (...) AND%20[cb]%20IS%20NOT%20NULL)--. En gros, une requête SQL injection qui exploite une faille du serveur. Une variable n'avait pas été corrigée et la requête exploitait la dite faille.
Ce contact téléphonique a donc permis à Stéphane Romanyszyn de découvrir que les captures écrans réalisées par un blogueur, elles affichaient des données bancaires diffusées par le site entreparticuliers.com, n'étaient pas des faux. Il n'a jamais reconnu la faille ? Pourquoi alors la page result.asp a été corrigée depuis ? La variable baptisée 'rub' a disparu comme le prouve la page erreur qui s'affiche à la place.

L'appel téléphonique a apporté la preuve que des informations bancaires étaient bien visibles à partir du site entreparticuliers.com. Et pourtant, Stéphane Romanyszyn indique à rue89 qu'il n'a pas "reconnu la faille (...) et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article (...) Les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage".
Rue89 a retrouvé des clients. Ces derniers confirment bien l'authenticité des données bancaires qui étaient accessibles. L'un d'eux exprime même avoir eu quatre tentatives de piratage, en février dernier. Heureusement, ce client avait utilisé une e-carte bleue. Numéro unique, pour un achat et un montant unique.
Bref, je persiste et je signe. Stéphane Romanyszyn a reconnu la faille, il l'avait devant les yeux. A demandé comment cela était possible et s'est même posé la question à savoir si cela n'avait pas été orchestrée de l'intérieur de son entreprise. Une hypothèse qu'il a lui même évoqué parlant d'un ancien employé parti depuis. Le PDG estime avoir "affaire à un complot". Aucun complot, juste une faille SQL Injection.
a>
06-09-2010 à 01:21 - 0 commentaire(s)
Exclusif - Un pirate informatique propose une méthode pour pirater iTunes. Il vent l´accès avant de partir à la retraite.
01-09-2010 à 16:37 - 0 commentaire(s)
0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.
01-09-2010 à 15:50 - 0 commentaire(s)
Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011
01-09-2010 à 14:56 - 0 commentaire(s)
Exclusif - Portes ouvertes à pirate dans l´un des serveurs de l´éditeur de jeux vidéo UbiSoft.
01-09-2010 à 14:45 - 0 commentaire(s)
Exclusif - Le Food and Agriculture Organization of the United Nations était ouvert aux quatre vents sur Internet.
01-09-2010 à 14:05 - 0 commentaire(s)
Sony fait interdire la commercialisation de la clé usb qui crack sa Playstation 3. Bilan, la méthode open source débarque sur la toile.
01-09-2010 à 13:21 - 1 commentaire(s)
Exclu - Alors que l´Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet prépare ses courriers à l´encontre des copieurs sur le P2P, voici ce que l´HADOPI ne voit pas !
01-09-2010 à 12:27 - 0 commentaire(s)
Depuis quelques jours, Maître Sibailly vous annonce 250.000 euros de gain suite à un tirage au sort signé par de grandes marques Françaises.
Vladislav Horohorinu, le pirate Ukraino-isréalien de données bancaires, diffusait des vidéos de promotions sur Internet pour recruter une armée de carders.
Des milliers de clients de la 6e banque européenne n´avaient plus accès à leur argent.
Une Yescard, une carte bancaire qui dit toujours oui, utilisée dans la Marne ?
Deux ressortissants roumains, en possession du parfait nécessaire de petit skimmeur, arrêtés dans l´Est de la France.
La tête pensante d´un important réseau de piratage de données bancaires arrêté à Nice.
Un pirate informatique accusé d´avoir volé pour 9 millions de dollars extradé vers les États-Unis.
Nouveau piratage de carte bancaire dans le Nord de la France à partir d´un distributeur de billets piégé.
La police italienne a mis fin au business de 12 pirates de cartes bancaires.


0day, exploitations massives, phishing, attaques ciblées : le retour en force des hackers.
Un étudiant en informatique recherche deux stages en entreprise pour son année scolaire 2010-2011
En plein mois d´août, les négociateurs de l´ACTA se réunissent à nouveau à Washington, pour un round de discussions sur cet accord international anti-contrefaçon.
Linux Pratique Essentiel n´15 vous propose une alternative à votre système propriétaire.