Ca fait presque une semaine que j’ai accès à des numéros de CB sur le site entreparticuliers.com. Je n’ai eu aucun retour de leur part. Cet article étant le plus vu sur ce blog cet année, je doute qu’aucun salarié ou administrateur de ce site immobilier n’ait eu d’écho.
Une société pure player avec une capitalisation boursière de plus de 60 millions d’euros ne peut ignorer ce genre d’information pendant une semaine.
c’est l’hallu ce truc là… n’ont ils pas l’obligation d’utiliser un serveur sécurisé ?
je comprends pas comment on peut encore stocker des numéros de CB sur son propre serveur
Hmmmm.
Google bombing ?
J’ai envoyé un mail au pdg, on verra s’il répond.
Dire qu’il n’y a pas si longtemps j’ai failli passer une annonce sur ce site…
Fais gaffe qu’il ne réponde pas par voie juridique, il parait que c’est à la mode ces derniers temps.
Il n’y a rien d’insultant de diffamant, pas d’intention de nuire et je ne donne aucun lien. Je publie une copie d’écran de ce que j’ai vu en suivant un lien sur un site.
En plus j’ai prévenu avec un mail et leur formulaire de contact.
@ arnaud Jeulin Publie le lien du site ou tu l as trouvé , ca va peut etre les faire bouger
en plus si toi t as vu ce lien , d’autres ont pu le voir aussi, ou peuvent y avoir acces, etc……
il y a deja peut etre eu des problemes avec certaines cartes bleues.
t as contacté le groupent des cartes bancaires?
DGCCRF
167-177 avenue Joliot-Curie
92013 NANTERRE Cedex
UFC que choisir
Anne-Sophie Stamane
233 boulevard voltaire
75011 paris
Groupement cartes bancaires
Madame WOUAQUET
Washington Plaza
75408 Paris cedex 08
AMF (Autorité des marchés financiers)
17 place de la bourse
75082 Paris cedex 02
Que choisir est au courant.
La page qui donnait le lien n’existe plus, de toute façon je ne souhaite pas que ce soit trop diffusé. Il faut se mettre à la place de ceux qui ont leur numéro en clair sur entreparticuliers.com.
Y’a un peu plus de deux mois, une faille permettait de modifier toutes les annonces et a été modifié en quelques jours. Je mets pas le lien on sait jamais :)
@Seb: en faisant un petit tour sur le site en question il y a 5 minutes, je viens de trouver un moyen de modifier les annonces en 2 clics, d’avoir les coordonnées du vendeur, email, facture, etc (mais pas la cb) …
Une vrai passoire ce site!
Vu comment le site est fait je pense que c’est un vrai gros chantier pour remettre les données en sécurité et que cela ne se fera pas en un jour ou même une semaine. On comprend bien qu’ils ne communiquent pas trop la dessus en attendant la correction.
C’est peut être même parce qu’ils sont cotés en bourse qu’ils ne peuvent pas faire ce qu’il faudrait : couper le site , s’excuser, corriger et remettre en ligne. On imagine la tronche du cours de l’action.
Au menu des erreurs à ne pas commettre :
– Passer des variables en post en pensant les rendre invisibles
– Authentification en javascript!
– Clic droit désactivé sur les pages publiques pour qu’on ne puisse pas lire la source des pages (mdr)
– Même pas de mot de passe pour modifier les annonces! On demande seulement le nom.
Bref, pas une once de sécurité la dedans, la moindre appli web open source est 1000 fois plus sécure.
PS1: Ils recrutent un developpeur : http://www.entreparticuliers.com/partenariats/devWeb.asp
Je rajouterais bien ‘rudiments de sécurité Web’ dans le profil
PS2: Un petit barbec ce week-end?
PS3: Je vend un base de données email de + de 20 000 vendeurs de bien immobilier, faire offre à dauran qui fera suivre – Non je déconne
@ Arnaud Jeulin,
peut tu stp ajouter d’autres impr ecran en flouttant, puisque nous on peut pas voir tout et seulement un apercu.
tu peux pas floutter legerement l’url en laissant apparaitre le debut avec le nom du site , comme tu as fait pour les numeros ?
Flouter l’url ? c’est une url du genre http://www.entreparticuliers.com/blablablabla :)
Je peux mettre d’autres copies d’écran mais ça va être un peu lourd à lire.
Sinon la faille est toujours là et je n’ai pas de réponse à mes messages.
@arnaud jeulin,
pour les impr ecran , je trouve que ca vaut le coup d’oeil, tu peux en montrer d’autres. ok pour l’url, Mais peux tu montrer en copie ecran le debut de l’adresse et masquer le blablabla stp .
Pingback: Des numéros de CB librement accessible sur un site d’annonces immobilières | ToCoda.Fr
le dossier s’alourdit:
http://www.journaldunet.com/ebusiness/internet/interview/080401-seloger-plainte-entreparticuliers-yakaz-gloobot.shtml
Extrait:
Pour être honnête, nous sommes en procès avec Enterparticuliers.com. Nous les avons assigné pour nous avoir volé notre base de données de petites annonces d’immobilier neuf. Ce pillage s’est produit en 2006 et nous avons décidé de porter plainte fin 2007. Nous leur réclamons 628.000 euros de dommages et intérêts. J’ai un certain nombre de réserves sur leurs pratiques commerciales…