Actualité
Des données bancaires se logaient sur le site entreparticuliers.com
Publié le 08-04-2008 à 12:41:24 dans le thème Banque
Pays : International - Auteur : Damien Bancal
Pub : CA Personal Firewall 2007 - Contrecarrez les intrus!
Pendant plusieurs mois, les données bancaires des clients du site entreparticuliers.com étaient en accès libre via une page de ce portail immobilier. Une faille informatique, découverte par un blogueur, permettait d'accéder aux informations des cartes bancaires, y compris au fameux cryptogramme, le CVV (ou CVV2). La faille a été rapidement corrigée. Comme l'indique 01net, aucune fraude n'aurait été décelée.
Mise à jour 09/04 : Un complot contre entreparticuliers.com ? Le PDG du site entreparticuliers.com, Stéphane Romanyszyn, nie dans les colonnes de RUE89, avoir reconnu la faille de son site Internet. Nous avons pu joindre Stéphane Romanyszyn, le 7 avril, après plusieurs mels infructueux, via l'agence de presse (Ketchum) qui se charge de la communication d'entreparticuliers.com. Cette dernière a organisé une conférence téléphonique. Lors de ce rendez-vous, un courrier électronique lui a été envoyé (07/04 à 11:57). Il contenait un lien. Lien qui lui a permis, toujours au téléphone, de constater ce qu'il pensait être une tentative de déstabilisation de la part de blogueurs. Le lien prouvait la présence d'une faille SQL dans le serveur de son site Internet. La faille ayant été corrigée, voici un extrait du lien en question (Nous ne l'affichons pas entièrement, NDR) : http://www.entreparticuliers.com/result.asp?rubrique (...) ,'Crypto%20:%20', (...) AND%20[cb]%20IS%20NOT%20NULL)--. En gros, une requête SQL injection qui exploite une faille du serveur. Une variable n'avait pas été corrigée et la requête exploitait la dite faille.
Ce contact téléphonique a donc permis à Stéphane Romanyszyn de découvrir que les captures écrans réalisées par un blogueur, elles affichaient des données bancaires diffusées par le site entreparticuliers.com, n'étaient pas des faux. Il n'a jamais reconnu la faille ? Pourquoi alors la page result.asp a été corrigée depuis ? La variable baptisée 'rub' a disparu comme le prouve la page erreur qui s'affiche à la place.
L'appel téléphonique a apporté la preuve que des informations bancaires étaient bien visibles à partir du site entreparticuliers.com. Et pourtant, Stéphane Romanyszyn indique à rue89 qu'il n'a pas "reconnu la faille (...) et se réserve le droit de poursuivre le journaliste qui l'avait cité dans son article (...) Les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage".
Rue89 a retrouvé des clients. Ces derniers confirment bien l'authenticité des données bancaires qui étaient accessibles. L'un d'eux exprime même avoir eu quatre tentatives de piratage, en février dernier. Heureusement, ce client avait utilisé une e-carte bleue. Numéro unique, pour un achat et un montant unique.
Bref, je persiste et je signe. Stéphane Romanyszyn a reconnu la faille, il l'avait devant les yeux. A demandé comment cela était possible et s'est même posé la question à savoir si cela n'avait pas été orchestrée de l'intérieur de son entreprise. Une hypothèse qu'il a lui même évoqué parlant d'un ancien employé parti depuis. Le PDG estime avoir "affaire à un complot". Aucun complot, juste une faille SQL Injection.
# Liens connexes
Le blog Dauran revient sur son "aventure"
Derniers contenus
Le Top 10 des menaces de juillet 2008
Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.
Lesarnaques.com nouvelle version
Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.
GNU/Linux magazine HS 38: Electronique, domotique et embarqué avec Linux
GNU/Linux et les logiciels libres ne sont pas qu'une affaire de serveurs et d'environnements de bureau. La preuve avec le nouveau HS de GNU/Linux magazine.
Après CNN, MSNBC nouvelle cible Stormique !
La semaine dernière, des pirates informatiques s'étaient amusés à diffuser un virus via les couleurs de CNN. Depuis peu, voici venir MSNBC.
Chat spécial avec SII
Le prochain chat Lesjeudis.com aura lieu le 4 septembre avec SII. Cette information pourrait intéresser votre audience.
World Cyber Games 2008
Du 26 au 28 septembre à Paris, Parc des expositions de la Porte de Versailles, Pavillon 6.
100 photos de Reza pour la liberté de la presse
100 photos de Reza pour la liberté de la presse. Le nouvel album de Reporters Sans Frontiére sera disponible dès le jeudi 25 septembre 2008.
Outil de chiffrement open source pour Google
KeyCzar, le projet open source de Google à la sauce cryptage et chiffrement des données.
Sur le même thème : Banque
7 institutions financières sur 10 comportent des vulnérabilités
Des chercheurs de l'Université du Michigan indiquent que 7 institutions financières américaines sur 10 sont faillibles aux pirates.
Fraude bancaire en hausse
Plus de 790 millions d'euros volés par des pirates, ces six derniers mois, sur le territoire britannique.
Le sud de Londres: Roi de la fraude à la carte bancaire
Une étude tirée de l'analyse de 30 millions de transactions bancaires baptise la zone sud de Londres comme la région reine de la fraude à la carte bleue.
Réseau de cybercriminels démantelé
Un réseau de cybercriminels démantelé par la police roumaine. 19 personnes arrêtées spécialisée dans les fausses ventes sur eBay.
Fraude à la carte bancaire : 268.5 millions d'euros dans la nature
Plus de 260 millions d'euros piratés en 2007 dans les comptes en banque de Français. Montrés du doigt : Internet, le téléphone et les transactions internationales.
Piratage facile de la Western Union
WUPHacker, un logiciel vendu plusieurs centaines de dollars, permet de faire des transfert d'argent en piratant la banque américaine et ses filiales à l'étranger.
Un pirate emprisonné après un e-braquage raté
Un ancien employé de 25 ans de la banque HSBC emprisonné après avoir presque réussi le détournement de 141 millions de dollars.
Des pirates s'invitent dans des distributeurs de billets
Des pirates informatiques ont réussi à pénétrer des distributeurs de billets de la Citibank afin de voler les codes secrets des utilisateurs.
Vos réactions ( 0 )
Réagissez à ce contenu
Réagir
- Pirater n'importe quel compte de courrier él...
- WizzGo, un magnétoscope numérique en ligne In...
- Deux espaces ministériels français piratés
- Poussée d'hameçonnages à partir de sites web...
- Le web du Ministère de la Défense recherche u...
- Le Top 10 des menaces de juillet 2008
- Lesarnaques.com nouvelle version
- Quake 5 bientôt sur Excel ?
- E.T. ; Rester ; Maison
- Un hacker dans Prison Break
- Quels services de Google utilisez-vous ?
- Facebook se rapproche de Twitter
- Webserie - Hello geekette
- Inc. Le magazine des jeunes entrepreneurs !
- Croissance de Facebook dans le temps et dans ...
- Cities XL, Sim City en MMO
- Un tapis souris Multimedia chez Zonet
- Est-ce que quand je ferme les yeux je vois l...
- Wii Sqweeze, le complément exergaming au Wii ...
- Paramètrer Java simplement
- Exclu : La Corée, l'autre dragon de la contr...
- Lille aux pirates, épisode II
- Présidentielle : web, boulettes et piratages
- Actualité e-juridique
- Houra.fr ouvert au phishing
- Problème de sécurité pour le site ALAPAGE.COM
- Prudence, phishing possible
- Loi et Internet
- Victime de fraude en ligne ? Comment agir !
- Entreprise, prudence
Derniers communiqués de presse
Le Top 10 des menaces de juillet 2008
Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.
Lesarnaques.com nouvelle version
Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.
GNU/Linux magazine HS 38: Electronique, domotique et embarqué avec Linux
GNU/Linux et les logiciels libres ne sont pas qu'une affaire de serveurs et d'environnements de bureau. La preuve avec le nouveau HS de GNU/Linux magazine.
Chat spécial avec SII
Le prochain chat Lesjeudis.com aura lieu le 4 septembre avec SII. Cette information pourrait intéresser votre audience.
Stars-buzz.com
Laurence Boccolini va nous faire danser
C’est confirmée, Laurence Boccolini revient sur Tf1 et va même animer, durant 15 jours, début septembre, l’émission “Dancefloor : qui sera le plus fort ?”. Selon Le Parisien, ce divertissement arrive sur TF1 le lundi 8 septembre. De 18 heures à 19 heures, des participants vont devoir improviser des danses. Un “battle” entre deux concurrents [...]
Johnny Depp, Jude Law et Colin Farrell font une bonne action
Johnny Depp, Jude Law et Colin Farrell ont décidé de reverser le montant de leur cachet d’acteur, pour le film The Imaginarium of Dr Parnassus, à la fille d’Heath Ledger, Mathilda. Heath Ledger est décédé en janvier dernier à la suite d’une surdose de médicaments. Il incarne en ce moment le rôle (excellent) du Joker [...]
Harry Potter va montrer sa petite baguette magique
Tournicoti, tournicota, revoilà, Harry Potter. Le 6ème épisode est retardé de 9 mois, rien que ça. Attendu en novembre prochain, Harry Potter et le prince de sang mêlé ne sortira pas en salle en novembre mais en juillet 2009. Warner Bros montre du doigt, pour justifier ce retard, la greve des scenaristes qui a touché [...]
Image mystére: Kournikova ? Babare ? Barbapapa ?
Qui se cache dans cette photographie ? Une ancienne tennis woman ? Anna Kournikova ? Babare ? Bravo, perspicace, il s’agit de l’ancienne tennis woman Kournikova dans les pages du magazine Maxim US de septembre.
