Une start-up de paiement new-yorkaise a laissé fuiter des millions de numéros de cartes bancaires
Le 23 avril 2020 à 09h39
1 min
Internet
Internet
Dans cette histoire racontée par TechCrunch on trouve à peu près tout ce qu’il ne faut pas faire en matière de sécurité informatique, d’autant plus sur les paiements en ligne.
Paay a ainsi laissé accessible une base de données pendant près de trois semaines, sans aucune protection. Elle contenait des données non chiffrées, notamment des relevés de transaction avec le numéro complet de la carte utilisée.
Yitz Mendlowitz, cofondateur de Paay, reconnaît qu’une « erreur a été commise » (c’est le moins que l’on puisse dire). Il ajoute : « Nous ne stockons pas les numéros de carte, car nous ne les utilisons pas ». TechCrunch lui a alors envoyé une copie des données, sans réponse.
Le 23 avril 2020 à 09h39
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/04/2020 à 10h59
Si tu as des conseils pour la gestion de BDD à un novice en la matière, je suis preneur.
(même si bien évidemment, la base de données sans mot de passe, même pour un novice, c’est une grosse co)
Le 23/04/2020 à 10h24
Comment peut on encore trouver des BDD de ce genre ouvertes. A la base, elles ne le sont pas normalement donc c’est un choix volontaire de l’ouvrir, surement pendant les phases de dev-test-recette, mais même pendant ces phases il ne le faut pas, c’est manquer de professionnalisme.
J’en gère un certains nombres et pas une seule n’a été ouverte à aucun moment. j’ai toujours encapsuler les appels dans des web-services à identifications fortes, voir dans certains cas avec une surcouche de chiffrage à 2 voir 3 niveaux (Chiffrage + limitation de force brute par ajout aléatoire + dictionnaire).
Le 23/04/2020 à 10h40
Ton avatar = la tête que j’ai fait en lisant l’actu.
" />
Le 23/04/2020 à 11h53
Quelle soie ouverte sur net en est une autre ! héhéhé
Le 23/04/2020 à 11h56
En fait, il faut bien différencier les deux cas qu’on rencontre en général :
(*) Si cela est possible et j’encourage fortement, encapsuler les appels à la BDD dans un service web pour réduire autant que possible l’écriture de requêtes à différents niveaux du code. Cela est plus facilement maintenable et réduit pas mal de risques. Ajouter un max de logs et un contrôle d’accès au service-web pour détecter tôt d’éventuels problèmes.
Il faut bien sûr être prudent avec le codage d’un service-web (Rest par exemple) mais le plus souvent cela permet de bien maîtriser la liste des points d’entrées.
J’espère que cela répond à ta question
Le 23/04/2020 à 12h22
Le 23/04/2020 à 14h08
Mais il a bossé dans combien de boite ce stagiaire? Parce que visiblement c’est toujours sa faute
" />
Le 23/04/2020 à 14h15
Bah c’est à dire que du coup a force de se faire virer il a toujours pas eu son diplôme, forcément. Donc il tourne
" />
Le 23/04/2020 à 09h22
C’est assez cocasse, mais peu surprenant de la part d’une start-up.
Le 23/04/2020 à 09h42
Il ne faut pas non plus tomber dans la généralité, comme si l’environnement startup poussait à faire ça.
Une startup c’est “juste” une boîte fraichement créée, elle peut très bien embaucher des gens compétents et expérimentés, tout dépend en fait de qui la fonde et du financement.
Le 23/04/2020 à 09h44
À ce niveau d’incompétence j’espère qu’il y aura des poursuites juridiques envers les responsables. Il n’y a pas trop de doute sur le futur de la boite.
Le 23/04/2020 à 09h55
Mais c’est aussi un “esprit startup” pas toujours idéal… En fait, startup n’est plus tant synonyme de “jeune pousse” de nos jours, quand on voit certaines boîtes appelées “startups” alors qu’elles ont des années d’existence et des centaines ou milliers d’employés…
Le 23/04/2020 à 10h08
Des quoi ? Des poursuite pour une faille ? hihihihi
Franchement y à 3 fuites par jours mais je doute que plus de 10 par ans entraînent une procédure en justice x)