Connexion
Abonnez-vous

Decathlon, à fond la fuite

Decathlon, à fond la fuite

Le 26 février 2020 à 09h36

VPNMentor affirme avoir identifié un serveur ElasticSearch librement accessible avec 9 Go de données et pas moins de 123 millions d’enregistrements sur des employés en Espagne et probablement certains au Royaume-Uni.

Selon VPNMentor, il y avait dans la base de données les noms, mots de passe non chiffrés, des logs d’API avec des logins et mots chiffrés cette fois-ci, adresses email, informations personnelles et professionnelles sur les employés, des adresses IP et des informations sur des clients.

Les chercheurs indiquent avoir identifié le pot aux roses le 12 février, puis prévenu Decathlon le 16 février. La fuite a été colmatée le 17 février. 

Le 26 février 2020 à 09h36

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

> Les chercheurs indiquent avoir identifié le pot aux roses le 12 février, puis prévenu Decathlon le 16 février.



Pourquoi attendre 4 jours ?

votre avatar

Quand est-ce qu’on colle un loi pour interdire les mots de passe non chiffrés ?

votre avatar

Au moins, Decathlon a colmaté le lendemain. Faut quand-même le souligner. <img data-src=" />

votre avatar

C’est long à dump une bdd de 9Go :)

votre avatar

Des mots de passe non chiffrés…

Au bûcher !

votre avatar

Et une de plus … une.



Ce serait marrant que NXI fasse un bilan de fin d’année sur le nombre de “fuite”.



Cela mettrai en perspective le fait que finalement les MDP sur les sites ne sert a rien vu qu’ils fuitent sans cesse.

&nbsp;

votre avatar

Vu que c’est dans une base ElasticSearch (une sorte d’index de moteur de recherche open source) on peut imaginer que ce n’est pas « voulu » mais que le code responsable de l’indexation a fait un petit peu de zèle. Ça sent le middleware qui agrège tous les inputs utilisateurs sans réfléchir pour faire de la dataviz qui fait plaisir aux marketeux.



Enfin après c’est une supposition. Je refuse de croire qu’une boîte assez calée techniquement comme décathlon ait pu volontairement stocker des MDP en clair et encore moins dans un ElasticSearch. Par contre qu’elle réinvente la roue en faisant des erreurs grossières, ça c’est juste le commun des boites high tech.

votre avatar







yyouf a écrit :



Quand est-ce qu’on colle un loi pour interdire les mots de passe non chiffrés ?







Non hashé <img data-src=" />


votre avatar

Le titre <img data-src=" />

votre avatar

Non, non, et non. Ce sont des développeurs qui ont décidé d’activer l’envoi de données vers elastic search, pas l’inverse, l’outil ne crawl pas les données tout seul comme un grand, et même si c’était le cas, il n’y a aurait aucune raison que ces données soient stockées en clair quelque part.

votre avatar

Ils ont un bon stock de rustines en magasin <img data-src=" />

votre avatar

Qu’est-ce que ce sera lorsque la grande distribution sera touchée… Les blagues sexistes vont pleuvoir. <img data-src=" />

votre avatar







Ricard a écrit :



Au moins, Decathlon a colmaté le lendemain. Faut quand-même le souligner. <img data-src=" />





&nbsp;et hier certains pensaient que 52 mins c’est long comme reaction


votre avatar







ErGo_404 a écrit :



Non, non, et non. Ce sont des développeurs qui ont décidé d’activer l’envoi de données vers elastic search, pas l’inverse, l’outil ne crawl pas les données tout seul comme un grand, et même si c’était le cas, il n’y a aurait aucune raison que ces données soient stockées en clair quelque part.





J’ai pas été clair, quand je parle du code responsable de l’indexation, je ne pensais pas à ElasticSearch mais bien le code écrit par Décathlon. D’où mon exemple : ils ont peut être un middleware qui prend bêtement tout ce qui transite dans les données POST et le balance sans vergogne dans ElasticSearch, sans distinction que ce soit un mot clé tapé par l’utilisateur… ou un mot de passe.



Bien sûr que l’erreur vient d’eux et pas d’ElasticSearch. Mais je réagissais juste au fait que c’est probablement plus compliqué que “han les noobs ils stockent les mots de passe en clair” et que je plaide plus pour un stockage involontaire de la version non hashée.


votre avatar

Bon, quel login a mis bernard72 ou azerty123 histoire qu’on voit un peu la gueule des data crawlées ? <img data-src=" />

votre avatar

A ce sujet, j’ai envoyé une info par mail à inpact-hardware il y a plusieurs mois (19/03/19) et je n’ai jamais eu de réponse.

Il y a quelques temps, il y a eu des problèmes avec les cartes de fidélité des grandes surfaces car le mot de passe par défaut était devinable (date de naissance chez Leclerc par exemple).

Comme ces cartes permettent de payer avec les points de fidélité, c’était une vrai grosse faille.

Voir la partie “Cagnotte de vrais clients” :https://www.zataz.com/remplir-un-chariot-pour-quelques-euros/



Donc j’ai reçu la demande de Leclerc de modifier mon mot de passe. Ce que j’ai fait.

2 semaines plus tard, au moment d’utiliser ma carte, j’avais oublié que j’avais changé le code.

Je suis allé à l’accueil pour le faire changer.

La personne a scannée ma carte et directement énoncée à voix haute le code à 4 chiffres actuel de la carte.



Donc, les employés de cette grande surface on accès au code des cartes des clients. Ils sont inscrit en clair dans leur système et consultable par le péquin moyen de la société.

Une 2ème faille encore pire que la 1ère. Elle est pas belle la vie ?

votre avatar







floh a écrit :



A ce sujet, j’ai envoyé une info par mail à inpact-hardware il y a plusieurs mois (19/03/19) et je n’ai jamais eu de réponse.

Il y a quelques temps, il y a eu des problèmes avec les cartes de fidélité des grandes surfaces car le mot de passe par défaut était devinable (date de naissance chez Leclerc par exemple).

Comme ces cartes permettent de payer avec les points de fidélité, c’était une vrai grosse faille.

Voir la partie “Cagnotte de vrais clients” :https://www.zataz.com/remplir-un-chariot-pour-quelques-euros/



Donc j’ai reçu la demande de Leclerc de modifier mon mot de passe. Ce que j’ai fait.

2 semaines plus tard, au moment d’utiliser ma carte, j’avais oublié que j’avais changé le code.

Je suis allé à l’accueil pour le faire changer.

La personne a scannée ma carte et directement énoncée à voix haute le code à 4 chiffres actuel de la carte.



Donc, les employés de cette grande surface on accès au code des cartes des clients. Ils sont inscrit en clair dans leur système et consultable par le péquin moyen de la société.

Une 2ème faille encore pire que la 1ère. Elle est pas belle la vie ?





Ce que je vais dire ne sert pas à justifier cette sécurité merdique mais :




  • c’est chaud d’avoir vraiment des sous sur la carte de fidélité leclerc. Je crois que j’ai jamais eu plus de 10 balles dessus alors que j’ai été client très régulier. D’autant qu’ils sont facilement utilisables dès le premier centime contrairement aux concurrents donc n’y a aucune raison raisonnable de les garder sur la carte à moins de vouloir “épargner” une somme qui ne rapporte rien et qui n’est utilisable que chez leclerc. Je sais : pleins de gens le font, même ma femme décidait régulièrement de ne pas utiliser ce montant mais elle n’a jamais pu m’expliquer pourquoi. Probablement juste le kiff d’avoir une fois 5€ de réduc plutôt que 20 fois 25 centimes.

  • du coup leclerc en a probablement rien à carrer : en cas de vol d’une carte + son code, non seulement le préjudice sera trop infime pour que le client s’en rende compte ou prenne même la peine de se plaindre. Et au pire si ça devait escalader, un bon d’achat de 10 balles et on n’en parle plus.



    Donc c’est une situation merdique de gestion merdique d’une sécurité merdique dans une boite merdique mais malheureusement je doute qu’une enquête de journalisme y change quoi que ce soit ni même ne les fasse réagir.



    Parce que finalement du point de vue de Leclerc, cette sécurité est très bien adaptée à leur modèle de menace : infime avec des dommages potentiels minimes, et une fluidité plus importante pour son service client (t’ont ils même demandé autre chose que ta carte leclerc pour te redonner le code ?).



    Le vrai problème c’est que l’on puisse facilement accéder aux codes des gens qui sont souvent les mêmes que l’alarme de leur maison, leur CB, leur PIN de téléphone … ce à quoi la com de Leclerc te répondra du tac au tac de ne surtout pas utiliser les mêmes codes sur des services différents.


votre avatar

Ce n’est pas un argument valable.

Dans ce cas, s’il suffit de dire à chaque fois que le client/utilisateur n’a qu’à utiliser un code qu’il n’utilise nul part, c’est un argument parfait pour ne plus chiffrer les mots de passe. Que ce soit pour un forum, une boutique en ligne, n’importe quel service en ligne, …



Je vais peu souvent chez Leclerc et je dépasse rarement l’euro sur la carte. La ou je vais, il demande le code même pour enregistrer les points. Mais le problème n’est pas là.



La base/minimum c’est de rendre non réversible la lecture du code/mot de passe. Surtout qu’aucune entreprise ne peut dire qu’elle évitera toutes les fuites de données.

De nos jours, nous avons de plus en plus de cartes (de fidélité, CB, …) et on peut de plus en plus souvent changer les codes. Je l’ai déjà fait avec 2 CB mais pas pour mettre les mêmes. <img data-src=" />

Donc, quand on n’est pas devant un PC avec un gestionnaire de mot de passe et qu’il n’y a que 3 essais avant blocage, le risque c’est que l’utilisateur utilise les mêmes mots de passe pour différents supports.



Les mecs qui ont mis en place l’infrastructure permettant de gérer les cartes de fidélité, c’est soit un informaticien en interne, soit un prestataire. Dans les 2 cas, la 1ère chose qu’il devrait faire est de mettre en place cette sécurité.



Il y a des gens qui ont des centaines euros sur une carte de fidélité à cause de la prime énergie. C’est un fond alimenté par les entreprises pollueuses qui permet de financer une partie de travaux énergétique.

Tu peux voir les montants sur le site du gouvernement :

service-public.fr Service PublicJe ne connaissais pas jusqu’à ce que quelqu’un de ma famille achète un appareil de chauffage au bois très performant.

Il est passé par Auchan. Comme tu peux le voir sur ce site, le montant de la prime est versé sur la carte de fidélité. Il a donc eu un montant conséquent sur sa carte de fidélité.

https://www.prime-eco-energie.auchan.fr



Il y donc a des cartes à plusieurs milliers euros en circulation. <img data-src=" />

Ensuite, fait le lien avec l’article sur Zataz et dit moi pourquoi le code d’une carte de fidélité ne devrait pas avoir droit à un minimum de sécurité ?



J’ai écrit à inpact-hardware car ils demandaient à l’époque des idées de sujets et du coup, j’avais le mail sous la main. <img data-src=" />

Si les grandes surfaces ont fait une demande de changement de mot de passe à leur utilisateur, c’est justement suite à une alerte publique sur le sujet.

Je crois que les failles de sécurité et les fuites de données sont un sujet récurrent traité ici.

D’ailleurs, une carte avec une faille de sécurité, c’est un peu du hardware (light) <img data-src=" />

votre avatar

<img data-src=" />

votre avatar

On s’est mal compris. Si tu relis mon commentaire, je pense aussi qu’il s’agit d’un désastre. Je ne justifie en rien la sécurité moisie du bazar. Je suis entièrement d’accord avec toi sur le fait que c’est n’importe quoi et indéfendable.



Je dit juste que dans le fond, Leclerc s’en balance royalement et qu’aucun “scandale journalistique” ne les fera changer parce que globalement tout le monde s’en fout, et que même si ça devait les faire réagir, ils répondraient avec une phrase passe-partout genre “non mais c’est crypté dans nos bases de données” et l’opinion passerait à autre chose.



Et de toutes façons filer quelques bons d’achats aux clients motivés pour aller les emmerder leur coutera moins cher que la presta honteuse que leur facturerai la moindre SSII pour rajouter un bcrypt() par ci par là dans le code. Si ils ont le code source, d’ailleurs, parce que sinon il faut tout refaire.

votre avatar

&nbsp;FastestVPN is designed with 100% security andthat’s the main focus of the brand. The easy setup and power to unblock geo-restrictionsmakes it the best VPN for firestick.The configuration is super easy because it has a dedicated Firestick VPN appthat users can easily install. Anyone looking for the VPN download for firestick candownload FastestVPN.

Decathlon, à fond la fuite

Fermer