Fin décembre, Bob Diachenko (alias @MayhemDayOne) indiquait avoir trouvé une base de données librement accessible provenant d'une agence d'intérim et contenant des informations personnelles sur ses candidats. Deux semaines plus tard, la brèche était toujours ouverte et, pire, la base de données était mise à jour en temps réel.
Dans un billet de blog, Hacken Proof (dont Bob Diachenko est directeur de recherche et des cyberrisques) explique qu'il s'agit de MisterTemp et que la base de données comportait plus de 2,8 millions d'entrées, dont des emails, des adresses physiques, des numéros de téléphones et de sécurité sociale.
Alexandre Pham, le dirigeant d’Alphyr (maison mère de Mistertemp) explique à nos confrères du Monde que 40 000 profils sur les 400 000 de la société étaient concernés par cette importante faille.
Selon Bob Diachenko, d'autres personnes ont accédé à cette base de données. Il explique avoir trouvé une « note habituellement laissée par des pirates » : « C’est la preuve que quelqu’un d’autre que moi a accédé aux données, et les ont peut-être copiées ».
MisterTemp confirme avoir trouvé une telle note, sans donner plus de détails, et avoir identifié au moins un téléchargement partiel. Il pourrait s'agir de Bob Diachenko ou des autorités françaises qui ont été alertées, mais ce n'est qu'une supposition pour le moment.
Pour Alexandre Pham, cette faille serait due à « une erreur humaine suite à un test ». Il affirme aussi avoir « immédiatement » averti la CNIL et que la société contactera les personnes impactées.
Commentaires (17)
#1
Je n’ai plus qu’à espérer ne pas être dans la base.
#2
Pour Alexandre Pham, cette faille serait due à « une erreur humaine suite à un test ».
Ah tiens encore un test en prod.
la RACHE à de encore de beaux jours devant elle. " />
edit: précisons tout de suite que l’erreur humaine n’est pas intervenue SUITE au test, mais avant: c’est la décision de faire un test en prod.
#3
La Rache l’incompétence au service de l’inefficacité pour la réussite de l’échec du projet " />
#4
" />" /> C’est quoi ça? Je connaissais pas, merci. " />
#5
Vous le croyez quand il dit que c’était à cause d’un test ? Et puis tester quoi, exposer une base en clair pour voir si qqun réagit ?
Ça ressemble aux excuses bidon type “c’est un bug” ou “vous avez mal compris le produit” ‘-)
#6
#7
#8
Nop, j’suis admin systèmes et réseaux, je ne connais que la méthode BALECOUILLES. " />
#9
Les premières publications décrivant la RACHE et son domaine d’applicabilité remontent à 1996.
On peut donc dire que, s’il n’est pas prouvé que la RACHE soit la méthode la plus efficiente pour le développement logiciel (mais en a-t-on trouvé de meilleures?), c’est quand même l’une des plus pereines et des mieux installées dans l’industrie.
#10
#11
Je travaille pour une société d’intérim.
C’est effrayant le peu de sécurisation des données.
#12
#13
oui le problème est effectivement la faille humaine. le pauvre test n’y est pour rien.
mais dire qu’il y a eu une faille suite à un test, c’est une connerie.
#14
#15
C’est quoi les différences ? " /> (C’est pour le travail)
#16
#17
Merci pour le cours. " />