Dans cette histoire racontée par TechCrunch on trouve à peu près tout ce qu’il ne faut pas faire en matière de sécurité informatique, d’autant plus sur les paiements en ligne.
Paay a ainsi laissé accessible une base de données pendant près de trois semaines, sans aucune protection. Elle contenait des données non chiffrées, notamment des relevés de transaction avec le numéro complet de la carte utilisée.
Yitz Mendlowitz, cofondateur de Paay, reconnaît qu’une « erreur a été commise » (c’est le moins que l’on puisse dire). Il ajoute : « Nous ne stockons pas les numéros de carte, car nous ne les utilisons pas ». TechCrunch lui a alors envoyé une copie des données, sans réponse.
Commentaires (13)
#1
C’est assez cocasse, mais peu surprenant de la part d’une start-up.
#2
Il ne faut pas non plus tomber dans la généralité, comme si l’environnement startup poussait à faire ça.
Une startup c’est “juste” une boîte fraichement créée, elle peut très bien embaucher des gens compétents et expérimentés, tout dépend en fait de qui la fonde et du financement.
#3
À ce niveau d’incompétence j’espère qu’il y aura des poursuites juridiques envers les responsables. Il n’y a pas trop de doute sur le futur de la boite.
#4
Mais c’est aussi un “esprit startup” pas toujours idéal… En fait, startup n’est plus tant synonyme de “jeune pousse” de nos jours, quand on voit certaines boîtes appelées “startups” alors qu’elles ont des années d’existence et des centaines ou milliers d’employés…
#5
Des quoi ? Des poursuite pour une faille ? hihihihi
Franchement y à 3 fuites par jours mais je doute que plus de 10 par ans entraînent une procédure en justice x)
#6
Comment peut on encore trouver des BDD de ce genre ouvertes. A la base, elles ne le sont pas normalement donc c’est un choix volontaire de l’ouvrir, surement pendant les phases de dev-test-recette, mais même pendant ces phases il ne le faut pas, c’est manquer de professionnalisme.
J’en gère un certains nombres et pas une seule n’a été ouverte à aucun moment. j’ai toujours encapsuler les appels dans des web-services à identifications fortes, voir dans certains cas avec une surcouche de chiffrage à 2 voir 3 niveaux (Chiffrage + limitation de force brute par ajout aléatoire + dictionnaire).
#7
Ton avatar = la tête que j’ai fait en lisant l’actu.
" />
#8
Si tu as des conseils pour la gestion de BDD à un novice en la matière, je suis preneur.
(même si bien évidemment, la base de données sans mot de passe, même pour un novice, c’est une grosse co)
#9
Quelle soie ouverte sur net en est une autre ! héhéhé
#10
En fait, il faut bien différencier les deux cas qu’on rencontre en général :
(*) Si cela est possible et j’encourage fortement, encapsuler les appels à la BDD dans un service web pour réduire autant que possible l’écriture de requêtes à différents niveaux du code. Cela est plus facilement maintenable et réduit pas mal de risques. Ajouter un max de logs et un contrôle d’accès au service-web pour détecter tôt d’éventuels problèmes.
Il faut bien sûr être prudent avec le codage d’un service-web (Rest par exemple) mais le plus souvent cela permet de bien maîtriser la liste des points d’entrées.
J’espère que cela répond à ta question
#11
#12
Mais il a bossé dans combien de boite ce stagiaire? Parce que visiblement c’est toujours sa faute
" />
#13
Bah c’est à dire que du coup a force de se faire virer il a toujours pas eu son diplôme, forcément. Donc il tourne
" />