Exclusif : Le site chargé des Titres emploi service entreprise ne protégeait pas les informations des cotisants. La rédaction de ZATAZ.COM a eu accès aux données des adhérents: compte en banque, numéros de sécurité sociale, bulletin de paie, ... Plus de 500.000 dossiers en accès libre.
Le Titre emploi service (Tese) a été créé par la loi de modernisation de l’économie. Il va se substituer aux dispositifs du Chèque emploi très petites entreprises (CETPE) et du Titre emploi entreprise (TEE). Cette offre de services sera disponible dès la mi mai. "Les adhérents actuels n’ont aucune démarche à effectuer et recevront prochainement une information de leur centre national." indiquait, lundi, le site emploitpe.fr. Les adhérents risquent de ne pas aimer ce qui va suivre...
La rédaction de ZATAZ.COM a été informée par un lecteur, voilà dix jours, que des fuites de données avaient été repérées sur le site emploitpe.fr. Notre constatation sera sans appel. Via plusieurs possibilités officielles et non sécurisées, il nous a été possible d'accéder aux volets sociaux des adhérents de la zone parisienne.
Parmi les fichiers qui se sont affichés à l'écran: noms, adresses, numéro de SIRET, numéro d'employeur, numéro de sécurité social, compte en banque, montant des cotisations à venir, Accès à un volet social (bulletin de paie), Accès aux décomptes des cotisations, Accès à l'accusé de réception d'un compte et possibilité d'accès au compte ... Bref, pas vraiment des informations qui ont pour mission de se retrouver en accès libre sur la toile. Ni une, ni deux, nous avons mis en marche notre protocole d'alerte. Plusieurs courriels à destination du service informatique resteront lettres mortes. Il nous faudra passer par le numéro de téléphone fourni sur le site Internet pour être enfin entendu.
D'après nos constatations, plus de 500.000 documents, dont les premiers dataient de février 2006, les derniers d'avril 2009, étaient disponibles. Comment ? Plusieurs fuites à partir d'url officiel qu'il suffisait de modifier. Chaque chiffre de fin d'adresse web donnait accès aux informations d'un cotisants. Il suffisait de changer ce chiffre pour accéder aux dossiers privées et sensibles. Cerise sur le gâteau, l'url en question affichait un fier HTTPS, traduisez qu'il était censé être sécurisé !
Le site a été fermé ce mardi soir. Depuis, emploitpe.fr redirige les internautes vers la page letese.urssaf.fr "Le site Internet est actuellement indisponible. Veuillez nous excuser pour ce désagrément."
Depuis janvier 2009, la rédaction de ZATAZ.COM a pu faire corriger près de 120 très graves fuites de données comme Virgin mobile France, Orange, ...
Tweet
06-02-2012 à 19:16 - 0 commentaire(s)
INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.
05-02-2012 à 10:43 - 0 commentaire(s)
INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.
04-02-2012 à 11:42 - 0 commentaire(s)
INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.
04-02-2012 à 11:27 - 0 commentaire(s)
INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.
04-02-2012 à 10:59 - 0 commentaire(s)
INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.
04-02-2012 à 10:53 - 0 commentaire(s)
INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.
04-02-2012 à 10:21 - 1 commentaire(s)
INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.
04-02-2012 à 10:05 - 1 commentaire(s)
INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.
INFO ZATAZ - Des serveurs de l´Agence Spatiale Européenne piratés. Mots de passe, root, emails, ftp diffusés sur la toile.
TOP 20 des secteurs les plus contactées par un HaideD en 2010
Rapport sur les alertes diffusées par ZATAZ.COM en 2010. 1 589 alertes et près de 500 millions de données collectables.
Un pirate informatique écope de 2 ans de prison pour avoir occasionné plus de 19 millions d´euros de dégâts.
Exclusif - Le site dédié à la paix dans le monde de l´ONU sauvé des pirates informatiques.
Exclusif - Une faille importante corrigée sur le site Internet de Médecins Sans Frontières.
Exclusif - Le login et le mot de passe du site Internet de la 29e Fête de la Musique était accessible sur l´espace officiel numérique de la festivité.
Plusieurs vulnérabilités informatiques graves corrigées par le site de la chaîne satellite SyFy.
Ecrit par Garry_89 le 19.05.2009 à 10h35 | |||
|
|||
Ecrit par CybStup le 19.05.2009 à 11h45 | |||
|
|||
Ecrit par baggiot le 19.05.2009 à 16h31 | |||
|
|||
Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]
Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]
Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]
Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]