Nous joindre par : 0890 797 132*
CERT

CERT en action : Open bar numérique pour un espace SNCF

Le site Internet de la SNCF dédié au TER Grand EST avait des fuites. Le CERT de la compagnie ferroviaire vient de remettre le portail sur de bons rails.

Le site Internet TER Grand EST de la SNCF est le portail permettant aux habitants clients de la compagnie ferroviaire d’Alsace, de Champagne-Ardenne et de Lorraine de connaitre les tarifs, les horaires … Les abonnés, les titulaires d’une carte de réduction y retrouvent toutes les informations utiles.

En visitant cet espace, début septembre, il a été découvert une indexation ouverte du site. Des dossiers baptisés “Templates“, “Modules“, “Paiement” ou encore “ATOS” étaient accessibles aux internautes, et donc aussi aux moteurs de recherche, aux malveillants…

Dans les dossiers, les codes sources du site, des “sauvegardes datant pour certaines de décembre 2016 ou encore des “logs” de paiements, les plus anciennes datant de 2015. Très certainement des tests lors de la mise en place de l’espace paiement /ATOS/ proposé par le portail TERGrandEst.

Heureusement, pas de données clients, ni bancaires.

Il y avait cependant suffisamment d’informations pour un escroc ou un maître du phishing pour se fabriquer à bon compte un clone quasi parfait du site https://tergrandest.fr.

Le protocole ZATAZ a été pris en compte en quelques minutes par l’équipe du CERT SNCF qui a fait disparaître l’accès à ces dossiers qui n’avaient rien à faire là.

zataz veille

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM Journaliste (damienbancal.fr) Spécialiste des sujets cybercriminalité / cybersécurité. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, Micro Hebdo, La Voix du Nord, Tilt, Entrevue, l’Écho des Savanes, Le Canard Enchaîné, France 3, Nord'way, Programmez ...). Premier article en 1989 dans le mensuel "Amstar & CPC". Auteurs/coauteurs de 8 livres : "Pirates & hackers sur Internet" (Ed. Desmaret) ; "Hacker, le 5ème pouvoir" (Ed. Maxima) ; Ethical Hacking (Ed. ENI) ; "Tout pour maîtriser votre PC et Internet" (Ed. Que Choisir) ... Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) IUT de Maubeuge ; Master Cyberdéfense Université de Valenciennes ; Ecole Européenne de Guerre Économique Versailles. Commandant Réserviste Cyberdéfense Gendarmerie Nationale (RCC).

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.