S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Un pirate monnaye et diffuse une partie de la base clients de Pearl.fr

Un drapeau noir arboré sur Pearl

Via une injection SQL, un pirate informatique a pu glaner quantité de données dans la base clients de Pearl.fr. Plus de 700 000 données seraient dans la nature. Une partie a déjà été diffusée.

L’information a d’abord été diffusée sur twitter.com par le pirate lui-même (l0lzSec) puis repérée par Zataz. « Plus de 729 115 comptes clients compromis avec email et mot de passe. 1 115 050 transactions bancaires exposées » affirme l0lzSec qui n’hésite pas à se moquer de la plateforme de e-commerce : « And guess what? The password are in cleartext... Nice move fagg0ts o/ ». Les mots de passe auraient donc été enregistrés en clair, affirme-t-il. 

 

lettre pirate pearl


Pour l’heure seule une partie a été dévoilée dans un espace de stockage de texte en ligne, mais L0lzSec affirme qu’il diffusera l’intégralité dans un fichier zip. Selon Zataz, un internaute a proposé hier ses services à Pearl à la suite de ce piratage (voir la lettre ci-dessus). Des services monnayés 2 500 euros. C’est suite au refus de Pearl qu’une première partie de la base de données clients a été vaporisée sur le net. « D'après la direction de Pearl.fr qui a contacté la rédaction de zataz.com, le pirate a ponctionné 3.700 comptes clients, en deux phases. La première, des comptes datant de 2003. La seconde, avec des comptes récents » relate notre confrère. Le commerçant qui devrait porter plainte, a déjà contacté les clients concernés et tous les mots de passe ont été changés tout comme le mode de chiffrement des informations bancaires. Signalons qu'aujourd'hui le site Pearl.fr est difficilement accessible. 

 

Mise à jour 9 août 2012

 

Suite à cette action, la direction de Pearl nous a transmis ce droit de réponse que nous publions in extenso :

 

« Nous avons été victime d’une attaque et d’un chantage le 1er août 2012. Leur intrusion dans notre système leur a permis de récupérer certaines données, 2 998 comptes clients sont concernés.

Cette intrusion a malheureusement été possible car très récemment nous avons apporté des modifications à la configuration de php. "magic quotes" étant obsolète, cette fonction a été désactivée. Malheureusement un formulaire était resté trop permissif et a permis une injection SQL. Jusqu'à présent cela n'était pas possible "magic quotes" étant prévu et activé pour le cas où. Il est probable que dans le futur le nombre de sites vulnérables aux injections sera en augmentation au fur et à mesure de leur passage vers php 5.4. En effet, le choix d'activer ou non "magic quotes" ne sera plus possible, cette fonctionnalité étant supprimée dans cette version. Bien que "magic quotes" ne doive pas être considérée comme la seule solution, un oubli dans la sécurisation d'un formulaire pourrait dans le futur être fatal.

Nos équipes ont réagi très rapidement en corrigeant le code, en cryptant les données sensibles en base et en renforçant également la sécurité en amont. En parallèle nous avons fait auditer notre infrastructure ainsi que notre site par deux sociétés différentes.

Nous avons immédiatement prévenu tous les clients concernés par email et nous avons également procédé à des appels téléphoniques pour une partie. Nous continuons bien sûr d’assister si nécessaire et de répondre à toutes les questions éventuelles de nos clients.

Nous tenons à préciser qu’aucune donnée bancaire n’est accessible depuis notre site, au moment du paiement de la commande la saisie des coordonnées et la transaction se déroulent intégralement et uniquement sur les sites Internet de l’une de nos deux banques la CIC ou la Banque Populaire. Le nombre de 1.115.050 de données sont décrites à tort comme « transactions bancaires », elles correspondent à un comptage du nombre de lignes de confirmation de commandes que nous avons reçu et non à des numéros de compte ou de cartes bancaires de nos clients.

Notre priorité a été et reste de limiter au maximum pour nos clients la gêne occasionnée par cet acte de malveillance.

La Direction de PEARL.FR. »

Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 02/08/2012 à 16:54

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;