Dyrk.org
Do You Really Know

Attention à vos prestataires, vos informations fuitent …

Publié le 10 février 2015 par #Ro0t

 

Capture

 

Salut à tous,

 

Comme ça faisait longtemps, que je n’avais pas parlé « sécurité », je me suis dis qu’il était temps de mettre le sujet de nouveau sur la table ^^

 

Et puis, vous le savez déjà, je fais construire une maison …

 

Aussi, l’entreprise qui s’en charge est plutôt efficace et avance vraiment très rapidement.

 

Pour ceux qui connaissent, il s’agit de « Maison Pierre« .

 

Mais … quelque chose me chagrinait un peu ces derniers temps …

 

Maison Pierre m’avait promis un espace sur leur site Web, ou je pourrais consulter l’avancement du chantier, les paiements restants, les rendez vous, les photos de la maison, …

 

Cet accès ce trouve ici :

http://www.maisons-pierre.com/espace-client

 

 

Mais je n’ai jamais reçus le moindre accès … ni identifiant, ni mot de passe …

 

En réalité j’ai vite fini par comprendre que je ne recevrai rien  …

 

Car … le formulaire de Maison Pierre est leur faiblesse …

 

Il y a une faille SQL, qui permet de se connecter sur n’importe quel compte, et de connaitre les informations confidentielles des clients … dont les miennes …

 

Il suffit de s’y connecter avec une injection sql « bateau », accessible à n’importe quel script kiddies …

 

Identifiant : Hacker’ or 1 = 1  limit 1,1– f

Password : nimportequoi

 

Ce que je trouve un peu inadmissible !
J’aimerais rester maître de mes informations personnelles … et pas que n’importe qui puisse y accéder …

 

Bref en me connectant sur mon compte par cette brèche de sécurité béante … je me suis aperçus que quasiment rien ne fonctionnait, bien sur, il y  avait les informations visibles du client, celle des contacts chez Maison Pierre, chef de chantier, Commercial, paiement, adresse, …

 

 

Capture

 

(ici par exemple je suis connecté sur le compte de quelqu’un …)

 

Bref tout ça pour dire qu’il est important de savoir faire confiance à une entreprise, mais de garder un certain recule sur la confidentialité de vos données.

 

Néanmoins, ça n’est pas Maison Pierre qui est réellement en faute, en réalité c’est cette entreprise :

http://www.actweb.fr/

 

Qui gère également des grands comptes tel que Air France, Crédit Mutuel, … Bref … ça fait peur quand même …