Connexion
Abonnez-vous

Une start-up de paiement new-yorkaise a laissé fuiter des millions de numéros de cartes bancaires

Une start-up de paiement new-yorkaise a laissé fuiter des millions de numéros de cartes bancaires

Le 23 avril 2020 à 09h39

Dans cette histoire racontée par TechCrunch on trouve à peu près tout ce qu’il ne faut pas faire en matière de sécurité informatique, d’autant plus sur les paiements en ligne.

Paay a ainsi laissé accessible une base de données pendant près de trois semaines, sans aucune protection. Elle contenait des données non chiffrées, notamment des relevés de transaction avec le numéro complet de la carte utilisée.

Yitz Mendlowitz, cofondateur de Paay, reconnaît qu’une « erreur a été commise » (c’est le moins que l’on puisse dire). Il ajoute : « Nous ne stockons pas les numéros de carte, car nous ne les utilisons pas ». TechCrunch lui a alors envoyé une copie des données, sans réponse.

Le 23 avril 2020 à 09h39

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Si tu as des conseils pour la gestion de BDD à un novice en la matière, je suis preneur.

(même si bien évidemment, la base de données sans mot de passe, même pour un novice, c’est une grosse co)

votre avatar

Comment peut on encore trouver des BDD de ce genre ouvertes. A la base, elles ne le sont pas normalement donc c’est un choix volontaire de l’ouvrir, surement pendant les phases de dev-test-recette, mais même pendant ces phases il ne le faut pas, c’est manquer de professionnalisme.



J’en gère un certains nombres et pas une seule n’a été ouverte à aucun moment. j’ai toujours encapsuler les appels dans des web-services à identifications fortes, voir dans certains cas avec une surcouche de chiffrage à 2 voir 3 niveaux (Chiffrage + limitation de force brute par ajout aléatoire + dictionnaire).

votre avatar

Ton avatar = la tête que j’ai fait en lisant l’actu. <img data-src=" />

votre avatar

Quelle soie ouverte sur net en est une autre ! héhéhé

votre avatar

En fait, il faut bien différencier les deux cas qu’on rencontre en général :





  1. La BDD est utilisée par un soft purement interne à une entreprise, là on peut se permettre de mettre la BDD en accessible* mais bien sur avec User@Pass et une gestion propre des droits d’accès (Lecture/Ecriture).



  2. La BDD est utilisée par un site web sur un serveur d’une entreprise :

    &nbsp;




  • a. Si possible mettre la BDD sur un serveur autre que le serveur web, et ensuite gérer la BDD comme dans le cas 1*.

    &nbsp;

  • b. Si le site est sur un serveur distant (ovh) si possible faire comme en a, sinon verrouillage à tous les niveaux possible de la BDD (config de base le plus souvent), et bien encapsuler les appels depuis le site web (php, etc…) pour éviter les intrusions diverses comme l’injection sql. Encore plus de prudence dans le cas d’utilisation d’outils publics comme WodrPress. Je ne compte plus le nombre de tentatives d’accès par urls propres à WordPress sur les sites que je gère, heureusement que je code tout moi même, en tous cas autant que possible.



    (*) Si cela est possible et j’encourage fortement, encapsuler les appels à la BDD dans un service web pour réduire autant que possible l’écriture de requêtes à différents niveaux du code. Cela est plus facilement maintenable et réduit pas mal de risques. Ajouter un max de logs et un contrôle d’accès au service-web pour détecter tôt d’éventuels problèmes.



    Il faut bien sûr être prudent avec le codage d’un service-web (Rest par exemple) mais le plus souvent cela permet de bien maîtriser la liste des points d’entrées.



    J’espère que cela répond à ta question&nbsp;<img data-src=" />

votre avatar







wgg71 a écrit :



À ce niveau d’incompétence j’espère qu’il y aura des poursuites juridiques envers les responsables. Il n’y a pas trop de doute sur le futur de la boite.







Il y a déjà eu des sanctions. Le stagiaire a été viré.<img data-src=" />


votre avatar

Mais il a bossé dans combien de boite ce stagiaire? Parce que visiblement c’est toujours sa faute <img data-src=" />

votre avatar

Bah c’est à dire que du coup a force de se faire virer il a toujours pas eu son diplôme, forcément. Donc il tourne <img data-src=" />

votre avatar

C’est assez cocasse, mais peu surprenant de la part d’une start-up.

votre avatar

Il ne faut pas non plus tomber dans la généralité, comme si l’environnement startup poussait à faire ça.

Une startup c’est “juste” une boîte fraichement créée, elle peut très bien embaucher des gens compétents et expérimentés, tout dépend en fait de qui la fonde et du financement.

votre avatar

À ce niveau d’incompétence j’espère qu’il y aura des poursuites juridiques envers les responsables. Il n’y a pas trop de doute sur le futur de la boite.

votre avatar

Mais c’est aussi un “esprit startup” pas toujours idéal… En fait, startup n’est plus tant synonyme de “jeune pousse” de nos jours, quand on voit certaines boîtes appelées “startups” alors qu’elles ont des années d’existence et des centaines ou milliers d’employés…

votre avatar

Des quoi ? Des poursuite pour une faille ? hihihihi

Franchement y à 3 fuites par jours mais je doute que plus de 10 par ans entraînent une procédure en justice x)

Une start-up de paiement new-yorkaise a laissé fuiter des millions de numéros de cartes bancaires

Fermer