Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Une start-up de paiement new-yorkaise a laissé fuiter des millions de numéros de cartes bancairesCrédits : PeopleImages/iStock

Dans cette histoire racontée par TechCrunch on trouve à peu près tout ce qu’il ne faut pas faire en matière de sécurité informatique, d’autant plus sur les paiements en ligne.

Paay a ainsi laissé accessible une base de données pendant près de trois semaines, sans aucune protection. Elle contenait des données non chiffrées, notamment des relevés de transaction avec le numéro complet de la carte utilisée.

Yitz Mendlowitz, cofondateur de Paay, reconnaît qu’une « erreur a été commise » (c’est le moins que l’on puisse dire). Il ajoute : « Nous ne stockons pas les numéros de carte, car nous ne les utilisons pas ». TechCrunch lui a alors envoyé une copie des données, sans réponse.

13 commentaires
Avatar de myst6re Abonné
Avatar de myst6remyst6re- 23/04/20 à 09:22:27

C'est assez cocasse, mais peu surprenant de la part d'une start-up.

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 23/04/20 à 09:42:20

Il ne faut pas non plus tomber dans la généralité, comme si l'environnement startup poussait à faire ça.
Une startup c'est "juste" une boîte fraichement créée, elle peut très bien embaucher des gens compétents et expérimentés, tout dépend en fait de qui la fonde et du financement.

Avatar de wgg71 INpactien
Avatar de wgg71wgg71- 23/04/20 à 09:44:48

À ce niveau d'incompétence j'espère qu'il y aura des poursuites juridiques envers les responsables. Il n'y a pas trop de doute sur le futur de la boite.

Avatar de Vekin Abonné
Avatar de VekinVekin- 23/04/20 à 09:55:22

Mais c'est aussi un "esprit startup" pas toujours idéal... En fait, startup n'est plus tant synonyme de "jeune pousse" de nos jours, quand on voit certaines boîtes appelées "startups" alors qu'elles ont des années d'existence et des centaines ou milliers d'employés...

Avatar de secouss Abonné
Avatar de secousssecouss- 23/04/20 à 10:08:47

Des quoi ? Des poursuite pour une faille ? hihihihi
Franchement y à 3 fuites par jours mais je doute que plus de 10 par ans entraînent une procédure en justice x)

Avatar de Nicky5 Abonné
Avatar de Nicky5Nicky5- 23/04/20 à 10:24:39

Comment peut on encore trouver des BDD de ce genre ouvertes. A la base, elles ne le sont pas normalement donc c'est un choix volontaire de l'ouvrir, surement pendant les phases de dev-test-recette, mais même pendant ces phases il ne le faut pas, c'est manquer de professionnalisme.

J'en gère un certains nombres et pas une seule n'a été ouverte à aucun moment. j'ai toujours encapsuler les appels dans des web-services à identifications fortes, voir dans certains cas avec une surcouche de chiffrage à 2 voir 3 niveaux (Chiffrage + limitation de force brute par ajout aléatoire + dictionnaire).

Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 23/04/20 à 10:40:55

Ton avatar = la tête que j'ai fait en lisant l'actu. :D

Avatar de Celestelium Abonné
Avatar de CelesteliumCelestelium- 23/04/20 à 10:59:15

Si tu as des conseils pour la gestion de BDD à un novice en la matière, je suis preneur.
(même si bien évidemment, la base de données sans mot de passe, même pour un novice, c'est une grosse co******)

Avatar de gg40 INpactien
Avatar de gg40gg40- 23/04/20 à 11:53:32

Quelle soie ouverte sur net en est une autre ! héhéhé

Avatar de Nicky5 Abonné
Avatar de Nicky5Nicky5- 23/04/20 à 11:56:00

En fait, il faut bien différencier les deux cas qu'on rencontre en général :

  1. La BDD est utilisée par un soft purement interne à une entreprise, là on peut se permettre de mettre la BDD en accessible* mais bien sur avec User@Pass et une gestion propre des droits d'accès (Lecture/Ecriture).

  2. La BDD est utilisée par un site web sur un serveur d'une entreprise :
     

  • a. Si possible mettre la BDD sur un serveur autre que le serveur web, et ensuite gérer la BDD comme dans le cas 1*.
     

  • b. Si le site est sur un serveur distant (ovh) si possible faire comme en a, sinon verrouillage à tous les niveaux possible de la BDD (config de base le plus souvent), et bien encapsuler les appels depuis le site web (php, etc...) pour éviter les intrusions diverses comme l'injection sql. Encore plus de prudence dans le cas d'utilisation d'outils publics comme WodrPress. Je ne compte plus le nombre de tentatives d'accès par urls propres à WordPress sur les sites que je gère, heureusement que je code tout moi même, en tous cas autant que possible.

    (*) Si cela est possible et j'encourage fortement, encapsuler les appels à la BDD dans un service web pour réduire autant que possible l'écriture de requêtes à différents niveaux du code. Cela est plus facilement maintenable et réduit pas mal de risques. Ajouter un max de logs et un contrôle d'accès au service-web pour détecter tôt d'éventuels problèmes.

    Il faut bien sûr être prudent avec le codage d'un service-web (Rest par exemple) mais le plus souvent cela permet de bien maîtriser la liste des points d'entrées.

    J'espère que cela répond à ta question :yes:

Il n'est plus possible de commenter cette actualité.
Page 1 / 2