Publié le 24-04-2009 à 12:12:13 dans le thème HaideD

Pays : International - Auteur : Damien Bancal

Pub : Logiciels de sécurité et de protection Internet

Exclusif : Des vulnérabilités informatiques touchaient le site de vente de CD et DVD Nierle.com. La rédaction de ZATAZ.COM était capable d´accéder aux données sensibles de n´importe quel client. 

La rédaction de ZATAZ.COM n'en croit toujours pas ses yeux. Deux "bidouilles" bêtes comme pas possible permettaient à n'importe quel pirate équipé d'au moins un neurone de mettre la main sur les informations appartenant aux clients du site NIERLE.COM. La boutique en ligne NIERLE est basée en Allemagne. Elle permet d'acheter des CD et autres DVD vierges à des prix défiants toutes concurrences.

La premiére faille permettait d'accèder à l'ensemble des commandes clients. Des centaines de milliers de fiches commandes avec les produits acquis, les quantités, le prix, l'adresse et l'identité de l'acquereur. A noter d'ailleurs que les fiches sont assez révélatrices sur les acheteurs. Un exemple, un important constructeur automobile Français qui semble apprecier les produits Nierle.

La seconde vulnérabilité permettait d'accéder à n'importe quel compte client. Nous ne savons pas depuis quand cette porte ouverte était disponible. Elle ne demandait, pour être actionnée, qu'une simple connexion au site officiel via un navigateur web. L'erreur dans un url qu'il suffisait de modifier.

Mise à jour 25/04 : La société NIERLE aura attendu trois semaines après notre premiére alerte et surtout cet article pour se décider à corriger ses problèmes. Le premier, un simple url officiel, à la vue de tous, dans lequel il suffisait de changer le numéro (ex : www.nierle.com/222 ; /333 ; /444; ... ) pour accéder aux factures des autres clients. Une faille via un http dit sécurisé HTTPS.

La seconde vulnérabilité était encore plus idiote et grave. Il suffisait de posséder l'adresse électronique d'un client, de la rentrer dans la partir "Premier enregistrement au shop", de taper n'importe quel mot de passe et le tour était joué. Nom, adresse, téléphone, moyen de paiement étaient accessibles [voir reportage vidéo ci-dessous).

Mise à jour 26/04 : La rédaction a enfin reçu un courriel de Nierle. Un robot nous demande "notre numéro de commande". A noter que le site n'est pas corrigé à 100 %. Deux failles subsistent. Elles permettent toujours d'accéder aux données clients.

Mise à jour 27/04 : Nierle nous menace de justice pour "mensonge". En attendant, ils ont reçu les informations sur les failles. Certaines ne sont toujours pas corrigées au moment de cette mise à jour. 

15/05/2009 : Après plusieurs contacts téléphoniques et courriels, Nierle a corrigé ses fuites de données.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

L´Agence Spatiale Européenne piratée

INFO ZATAZ - Des serveurs de l´Agence Spatiale Européenne piratés. Mots de passe, root, emails, ftp diffusés sur la toile.

HaideD : les tendances 2010 - P2

TOP 20 des secteurs les plus contactées par un HaideD en 2010

HaideD : les tendances 2010

Rapport sur les alertes diffusées par ZATAZ.COM en 2010. 1 589 alertes et près de 500 millions de données collectables.

Il se venge d´un huissier à coup de DDoS

Un pirate informatique écope de 2 ans de prison pour avoir occasionné plus de 19 millions d´euros de dégâts.

Un site de l´ONU sauvé des pirates

Exclusif - Le site dédié à la paix dans le monde de l´ONU sauvé des pirates informatiques.

Médecins Sans Frontières sauvé des pirates

Exclusif - Une faille importante corrigée sur le site Internet de Médecins Sans Frontières.

Le site de la 29e fête de la musique a eu chaud

Exclusif - Le login et le mot de passe du site Internet de la 29e Fête de la Musique était accessible sur l´espace officiel numérique de la festivité.

La Chaîne SyFy corrige plusieurs failles

Plusieurs vulnérabilités informatiques graves corrigées par le site de la chaîne satellite SyFy.