une fuite de données

Une fuite de données de trop pour la SNCF qui fait fermer le site TERGrandEST

Après la correction d’une fuite de données, sans grand conséquence pour le public, sur le site web TER Grand EST, la SNCF décide de fermer le portail. Tout n’avait pas été corrigé ! Le plus grave était encore accessible.

Je vous révélais le 11 septembre 2017 d’un problème d’une fuite de données sur le site TerGrandEst.fr. Un problème rapidement pris en main par le CERT SNCF et le prestataire en charge de ce portail.

Seulement, l’intégrité du site et des données n’étaient toujours pas effective lors de cette correction. Je peux le révéler aujourd’hui, d’autres problèmes étaient toujours accessibles, dont l’accès aux identifiants de connexion (login et mot de passe) au serveur FTP de gestion du portail.

Autant dire qu’un pirate, avec ce genre de données dans les mains, auraient pu faire de gros dégâts, comme la diffusion d’un code malveillant via de faux documents (horaires de train) par exemple.

Une fois alerté pour la seconde fois par le Protocole d’Alerte de ZATAZ, le CERT SNCF a fait fermer le portail « En considération de la criticité de la faille, nous avons demandé au responsable du site de fermer le site […] La faille va être corrigée avant réouverture du site. Sinon, le site sera tout simplement supprimé. » Une page de maintenance a été installée.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.