VPNMentor affirme avoir identifié un serveur ElasticSearch librement accessible avec 9 Go de données et pas moins de 123 millions d’enregistrements sur des employés en Espagne et probablement certains au Royaume-Uni.
Selon VPNMentor, il y avait dans la base de données les noms, mots de passe non chiffrés, des logs d’API avec des logins et mots chiffrés cette fois-ci, adresses email, informations personnelles et professionnelles sur les employés, des adresses IP et des informations sur des clients.
Les chercheurs indiquent avoir identifié le pot aux roses le 12 février, puis prévenu Decathlon le 16 février. La fuite a été colmatée le 17 février.
Commentaires (21)
#1
> Les chercheurs indiquent avoir identifié le pot aux roses le 12 février, puis prévenu Decathlon le 16 février.
Pourquoi attendre 4 jours ?
#2
Quand est-ce qu’on colle un loi pour interdire les mots de passe non chiffrés ?
#3
Au moins, Decathlon a colmaté le lendemain. Faut quand-même le souligner.
" />
#4
C’est long à dump une bdd de 9Go :)
#5
Des mots de passe non chiffrés…
Au bûcher !
#6
Et une de plus … une.
Ce serait marrant que NXI fasse un bilan de fin d’année sur le nombre de “fuite”.
Cela mettrai en perspective le fait que finalement les MDP sur les sites ne sert a rien vu qu’ils fuitent sans cesse.
#7
Vu que c’est dans une base ElasticSearch (une sorte d’index de moteur de recherche open source) on peut imaginer que ce n’est pas « voulu » mais que le code responsable de l’indexation a fait un petit peu de zèle. Ça sent le middleware qui agrège tous les inputs utilisateurs sans réfléchir pour faire de la dataviz qui fait plaisir aux marketeux.
Enfin après c’est une supposition. Je refuse de croire qu’une boîte assez calée techniquement comme décathlon ait pu volontairement stocker des MDP en clair et encore moins dans un ElasticSearch. Par contre qu’elle réinvente la roue en faisant des erreurs grossières, ça c’est juste le commun des boites high tech.
#8
#9
Le titre
" />
#10
Non, non, et non. Ce sont des développeurs qui ont décidé d’activer l’envoi de données vers elastic search, pas l’inverse, l’outil ne crawl pas les données tout seul comme un grand, et même si c’était le cas, il n’y a aurait aucune raison que ces données soient stockées en clair quelque part.
#11
Ils ont un bon stock de rustines en magasin
" />
#12
Qu’est-ce que ce sera lorsque la grande distribution sera touchée… Les blagues sexistes vont pleuvoir.
" />
#13
#14
#15
Bon, quel login a mis bernard72 ou azerty123 histoire qu’on voit un peu la gueule des data crawlées ?
" />
#16
A ce sujet, j’ai envoyé une info par mail à inpact-hardware il y a plusieurs mois (19/03/19) et je n’ai jamais eu de réponse.
Il y a quelques temps, il y a eu des problèmes avec les cartes de fidélité des grandes surfaces car le mot de passe par défaut était devinable (date de naissance chez Leclerc par exemple).
Comme ces cartes permettent de payer avec les points de fidélité, c’était une vrai grosse faille.
Voir la partie “Cagnotte de vrais clients” :https://www.zataz.com/remplir-un-chariot-pour-quelques-euros/
Donc j’ai reçu la demande de Leclerc de modifier mon mot de passe. Ce que j’ai fait.
2 semaines plus tard, au moment d’utiliser ma carte, j’avais oublié que j’avais changé le code.
Je suis allé à l’accueil pour le faire changer.
La personne a scannée ma carte et directement énoncée à voix haute le code à 4 chiffres actuel de la carte.
Donc, les employés de cette grande surface on accès au code des cartes des clients. Ils sont inscrit en clair dans leur système et consultable par le péquin moyen de la société.
Une 2ème faille encore pire que la 1ère. Elle est pas belle la vie ?
#17
#18
Ce n’est pas un argument valable.
" />
" />
" />
" />
Dans ce cas, s’il suffit de dire à chaque fois que le client/utilisateur n’a qu’à utiliser un code qu’il n’utilise nul part, c’est un argument parfait pour ne plus chiffrer les mots de passe. Que ce soit pour un forum, une boutique en ligne, n’importe quel service en ligne, …
Je vais peu souvent chez Leclerc et je dépasse rarement l’euro sur la carte. La ou je vais, il demande le code même pour enregistrer les points. Mais le problème n’est pas là.
La base/minimum c’est de rendre non réversible la lecture du code/mot de passe. Surtout qu’aucune entreprise ne peut dire qu’elle évitera toutes les fuites de données.
De nos jours, nous avons de plus en plus de cartes (de fidélité, CB, …) et on peut de plus en plus souvent changer les codes. Je l’ai déjà fait avec 2 CB mais pas pour mettre les mêmes.
Donc, quand on n’est pas devant un PC avec un gestionnaire de mot de passe et qu’il n’y a que 3 essais avant blocage, le risque c’est que l’utilisateur utilise les mêmes mots de passe pour différents supports.
Les mecs qui ont mis en place l’infrastructure permettant de gérer les cartes de fidélité, c’est soit un informaticien en interne, soit un prestataire. Dans les 2 cas, la 1ère chose qu’il devrait faire est de mettre en place cette sécurité.
Il y a des gens qui ont des centaines euros sur une carte de fidélité à cause de la prime énergie. C’est un fond alimenté par les entreprises pollueuses qui permet de financer une partie de travaux énergétique.
Tu peux voir les montants sur le site du gouvernement :
https://www.service-public.fr/particuliers/vosdroits/F34421
Je ne connaissais pas jusqu’à ce que quelqu’un de ma famille achète un appareil de chauffage au bois très performant.
Il est passé par Auchan. Comme tu peux le voir sur ce site, le montant de la prime est versé sur la carte de fidélité. Il a donc eu un montant conséquent sur sa carte de fidélité.
https://www.prime-eco-energie.auchan.fr
Il y donc a des cartes à plusieurs milliers euros en circulation.
Ensuite, fait le lien avec l’article sur Zataz et dit moi pourquoi le code d’une carte de fidélité ne devrait pas avoir droit à un minimum de sécurité ?
J’ai écrit à inpact-hardware car ils demandaient à l’époque des idées de sujets et du coup, j’avais le mail sous la main.
Si les grandes surfaces ont fait une demande de changement de mot de passe à leur utilisateur, c’est justement suite à une alerte publique sur le sujet.
Je crois que les failles de sécurité et les fuites de données sont un sujet récurrent traité ici.
D’ailleurs, une carte avec une faille de sécurité, c’est un peu du hardware (light)
#19
#20
On s’est mal compris. Si tu relis mon commentaire, je pense aussi qu’il s’agit d’un désastre. Je ne justifie en rien la sécurité moisie du bazar. Je suis entièrement d’accord avec toi sur le fait que c’est n’importe quoi et indéfendable.
Je dit juste que dans le fond, Leclerc s’en balance royalement et qu’aucun “scandale journalistique” ne les fera changer parce que globalement tout le monde s’en fout, et que même si ça devait les faire réagir, ils répondraient avec une phrase passe-partout genre “non mais c’est crypté dans nos bases de données” et l’opinion passerait à autre chose.
Et de toutes façons filer quelques bons d’achats aux clients motivés pour aller les emmerder leur coutera moins cher que la presta honteuse que leur facturerai la moindre SSII pour rajouter un bcrypt() par ci par là dans le code. Si ils ont le code source, d’ailleurs, parce que sinon il faut tout refaire.
#21
FastestVPN is designed with 100% security andthat’s the main focus of the brand. The easy setup and power to unblock geo-restrictionsmakes it the best VPN for firestick.The configuration is super easy because it has a dedicated Firestick VPN appthat users can easily install. Anyone looking for the VPN download for firestick candownload FastestVPN.