Attention à vos prestataires, vos informations fuitent …
Salut à tous,
Comme ça faisait longtemps, que je n'avais pas parlé "sécurité", je me suis dis qu'il était temps de mettre le sujet de nouveau sur la table ^^
Et puis, vous le savez déjà, je fais construire une maison ...
Aussi, l'entreprise qui s'en charge est plutôt efficace et avance vraiment très rapidement.
Pour ceux qui connaissent, il s'agit de "Maison Pierre".
Mais ... quelque chose me chagrinait un peu ces derniers temps ...
Maison Pierre m'avait promis un espace sur leur site Web, ou je pourrais consulter l'avancement du chantier, les paiements restants, les rendez vous, les photos de la maison, ...
Cet accès ce trouve ici :
http://www.maisons-pierre.com/espace-client
Mais je n'ai jamais reçus le moindre accès ... ni identifiant, ni mot de passe ...
En réalité j'ai vite fini par comprendre que je ne recevrai rien ...
Car ... le formulaire de Maison Pierre est leur faiblesse ...
Il y a une faille SQL, qui permet de se connecter sur n'importe quel compte, et de connaitre les informations confidentielles des clients ... dont les miennes ...
Il suffit de s'y connecter avec une injection sql "bateau", accessible à n'importe quel script kiddies ...
Identifiant : Hacker' or 1 = 1 limit 1,1-- f
Password : nimportequoi
Ce que je trouve un peu inadmissible !
J'aimerais rester maître de mes informations personnelles ... et pas que n'importe qui puisse y accéder ...
Bref en me connectant sur mon compte par cette brèche de sécurité béante ... je me suis aperçus que quasiment rien ne fonctionnait, bien sur, il y avait les informations visibles du client, celle des contacts chez Maison Pierre, chef de chantier, Commercial, paiement, adresse, ...
(ici par exemple je suis connecté sur le compte de quelqu'un ...)
Bref tout ça pour dire qu'il est important de savoir faire confiance à une entreprise, mais de garder un certain recule sur la confidentialité de vos données.
Néanmoins, ça n'est pas Maison Pierre qui est réellement en faute, en réalité c'est cette entreprise :
Qui gère également des grands comptes tel que Air France, Crédit Mutuel, ... Bref ... ça fait peur quand même ...
J’ai l’impression que la faille a été corrigée.
Oui, il s’en sont rendu compte en tombant sur mon article.
Grâce au referer des personnes qui cliquent sur le lien ^^
Puis bon dans l’idée c’était le but, qu’ils corrigent au plus vite :)
[EDIT] Non ça n’est toujours pas corrigé ….
Ils ont juste bloqué le « user » et « mdp » que je vous ai filé …. mdr
la faille sql est toujours là ^^