Sécurité
Des données bancaires se logaient sur le site entreparticuliers.com
Publié le 08-04-2008 dans le thème Banque
Pays : International - Auteur : Damien Bancal
Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr
Pendant plusieurs mois, les données bancaires des clients du site entreparticuliers.com étaient en accès libre via une page de ce portail immobilier. Une faille informatique, découverte par un blogueur, permettait d'accéder aux informations des cartes bancaires, y compris au fameux cryptogramme, le CVV (ou CVV2). La faille a été rapidement corrigée. Comme l'indique 01net, aucune fraude n'aurait été décelée.
Mise à jour 09/04 : Un complot contre entreparticuliers.com ? Le PDG du site entreparticuliers.com, Stéphane Romanyszyn, nie dans les colonnes de RUE89, avoir reconnu la faille de son site Internet. Nous avons pu joindre Stéphane Romanyszyn, le 7 avril, après plusieurs mels infructueux, via l'agence de presse (Ketchum) qui se charge de la communication d'entreparticuliers.com. Cette dernière a organisé une conférence téléphonique. Lors de ce rendez-vous, un courrier électronique lui a été envoyé (07/04 à 11:57). Il contenait un lien. Lien qui lui a permis, toujours au téléphone, de constater ce qu'il pensait être une tentative de déstabilisation de la part de blogueurs. Le lien prouvait la présence d'une faille SQL dans le serveur de son site Internet. La faille ayant été corrigée, voici un extrait du lien en question (Nous ne l'affichons pas entièrement, NDR) : http://www.entreparticuliers.com/result.asp?rubrique (...) ,'Crypto%20:%20', (...) AND%20[cb]%20IS%20NOT%20NULL)--. En gros, une requête SQL injection qui exploite une faille du serveur. Une variable n'avait pas été corrigée et la requête exploitait la dite faille.
Ce contact téléphonique a donc permis à Stéphane Romanyszyn de découvrir que les captures écrans réalisées par un blogueur, elles affichaient des données bancaires diffusées par le site entreparticuliers.com, n'étaient pas des faux. Il n'a jamais reconnu la faille ? Pourquoi alors la page result.asp a été corrigée depuis ? La variable baptisée 'rub' a disparu comme le prouve la page erreur qui s'affiche à la place.
L'appel téléphonique a apporté la preuve que des informations bancaires étaient bien visibles à partir du site entreparticuliers.com. Et pourtant, Stéphane Romanyszyn indique à rue89 qu'il n'a pas "reconnu la faille (...) et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article (...) Les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage".
Rue89 a retrouvé des clients. Ces derniers confirment bien l'authenticité des données bancaires qui étaient accessibles. L'un d'eux exprime même avoir eu quatre tentatives de piratage, en février dernier. Heureusement, ce client avait utilisé une e-carte bleue. Numéro unique, pour un achat et un montant unique.
Bref, je persiste et je signe. Stéphane Romanyszyn a reconnu la faille, il l'avait devant les yeux. A demandé comment cela était possible et s'est même posé la question à savoir si cela n'avait pas été orchestrée de l'intérieur de son entreprise. Une hypothèse qu'il a lui même évoqué parlant d'un ancien employé parti depuis. Le PDG estime avoir "affaire à un complot". Aucun complot, juste une faille SQL Injection.
# Liens connexes
Le blog Dauran revient sur son "aventure"
Derniers contenus
Le Comité d´Entreprise de GoodYear Amiens fait dans le phishing !
Exclu : Une page dédié à la banque Halifax cachée à l´insu du plein grès du Comité d'Entreprise du fabricant de pneu GoodYear, à Amiens.
DailyMotion HS: Fait trop chaud
Une panne de courant plonge plusieurs centaines de sites Internet Français dans le noir dont Dailymotion, le portail vidéo.
Interpol, nouveau membre du FIRST
La police internationale intègre le cercle du Forum of Incident Response and Security Teams, FIRST.
Fête nationale à la sauce guerre électronique
Un internaute souhaitait lancer une attaque informatique lors de la fête nationale américaine du 4 juillet. Il passera son Independance Day entre quatre murs.
Nouvelles arrestations chez wawa mania
Mercredi matin, les forces de l´ordre française auraient sonné chez de nouveaux administrateurs et uploaders du site Wawa Mania.
Sécurité et mobilité
Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.
Interoute Internet Barometer
Un widget vous permet de suive en temps réel les attaques informatiques en cours.
Usenet coupable de violation de la propriété intellectuelle
Les ayants droits américains font condamner Usenet. La justice estime que Usenet est directement coupable de violation de la propriété intellectuelle.
Sur le même thème : Banque
Nouveau matériel pirate pour distributeur de billets
Deux Bulgares ont été arrêtés à Lyon au moment ou ils installaient un nouveau matériel de skimming sur un distributeur de billets.
Recouvrement
Le recouvrement, une solution en cas d’accumulation des dettes.
Étrange protection pour la Caisse d´Épargne sur Internet
Exclusif : Le site Internet de la Caisse d´Épargne a une étrange façon de protéger les données bancaires de ses clients.
France: Jeux vidéo et fraude à la carte bancaire
Plusieurs dizaines de Français, clients d´un site de jeux vidéo touchés par une fraude à la carte bancaire.
Garde à Vue Génération(s) Braqueurs le 29 mars à 20h50 sur 13ème RUE
Ce mois-ci, pour la 7eme édition de Garde à Vue, Faustine Bollaert nous fait découvrir deux facettes de la criminalité. Le monde des gangsters à l’ancienne et les nouveaux, ceux de la planète Internet.
Gang de cardeurs arrêté
Une vingtaine de membres d´un important groupe de pirates de cartes bancaires arrêtés dans une vaste opération policière.
Codesoft.cc fermé
Un important espace d´échange et de vente de données bancaires piratées fermé par la police.
Distributeur de billets piégé
A quoi ressemble un distributeur de billets piégé par un pirate. ZATAZ vous le montre via une démonstration en images. Un consommateur averti... en vaut 10.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
Rechercher dans les Alertes
- Fable 3 confirmé
- Ecran USB MIMO
- Diabolo : une radio numérique internet
- En moyenne dès 10 ans sur Internet, pour y fa...
- HTC Hero, le smartphone superhero
- Gathera : gérer vos comptes sociaux depuis le...
- Microsoft Bing : trucs et astuces
- Air Keyboard – clavier à détection de mouveme...
- Poc Phpmyadminrce.sh Cve-2009-1151 - Phpmyadm...
- Rencontre avec Hacker Croll, le visiteur de T...
- Petits cubes, gros problème
- Distributeur de billets piégé
- Sality.AO, un virus entre passé et présent
- Faille pour Reader d'Adobe
- Faille pour Internet Explorer 7
- Chasseur de Shell/SQL
- Joomla! powa !
- Déni de service par SMS pour Nokia.
- Compromission de système par le biais de xter...
- Déni de service distant pour VMware
- Droit et Justice en ligne - Mai 2009
- Plus d'un million de mels en accès libre chez...
- Une filiale de Total en accès libre sur Inter...
- Salade de bugs pour PastaParty.com
- L´actualité juridique du mois de février 2009
- Fuite de données corrigée pour le site Vetito...
- L´actualité juridique du mois d´octobre
- Le petit business warez ne connait pas la cri...
- L´actualité juridique du mois de septembre
- L'actualité juridique du mois de Juin
Derniers communiqués de presse
Un site pour sauver des vies
Le groupe de protection sociale Vauban Humanis lance le premier site de localisation de défibrillateurs en France.
La version bêta de BitDefender 2010 désormais disponible en français
BitDefender a le plaisir d´annoncer pour la première fois la disponibilité en langue française de la version bêta de sa solution de sécurité BitDefender Total Security 2010.
Interface de programmation RapiShare disponible
RapidShare donne l´accès à son interface de programmation d´applications. Celle-ci permettra aux développeurs privés et professionnels d´intégrer rapidement et facilement la technologie RapidShare dans leurs outils.
Forfaits vraiment illimités chez Virgin Mobile
Virgin Mobile révolutionne le marché et lance les premiers forfaits vraiment illimités.
Stars-buzz.com
Clara plume: P?tit plaisir à saisir
« J?ai juste envie de parler aux gens », dit Clara Plume. Et elle parle ! C?est d?ailleurs de la parole qu?elle vient : enfance à la fois classique et bohème, encouragée à écrire aussi naturellement qu?elle lit, et à s?exprimer aussi passionnément qu?elle écoute. Elle devient comédienne, monte des pièces, en écrit, les jette, [...]
Speech Debelle, le nouveau clip sur Stars-buzz
Better Days a été produit par Plutonic Lab pendant le séjour de Speech en Australie. Après plusieurs idées de featuring, elle s?est finalement décidée pour Micachu qui a su insuffler sa touche brit-pop unique au titre. Le résultat est dément. Le son est chaleureux, groovy, sensuel. Le beat funky contraste avec la profondeur de la contrebasse [...]
Marie Espinosa, la démarante
Marie Espinosa marquée par Jane Birkin et Françoise Hardy sortira son premier album à la rentrée chez Remark (ULM/Universal Music). Une galette suave baptisée « La démarrante » et qui annonce un son mélodieux. C’est du moins ce que nous a fait saliver de plaisir le premier single de la belle, « Charmante jeune fille [...]
Street Hero
Street Hero ? Saut sur un bus avec caméra embarquée ? Saut freestyle d?un immeuble sur des bus en caméra embarquée. A voir ! Des bus, un immeuble et un jeune sautillant Yamakazi à la sauce anglaise. Etonnant, c’est le buzz vidéo du moment. Soleil, fun et juillet, voilà une période ou l’on peut se lacher un peu [...]
