Doubleclick round 2: des bases de données un peu trop visibles
| Doubleclick Round 5 Devenez un technicien chez Doubleclick Become a tech guy at Doubleclick |
| Doubleclick Round 4 Lisez mes mails, oups..., sur mes lèvres: "nous réparons" Read my mails, oops..., my lips: "we are fixing this mess" |
Doubleclick Round 3 |
| Doubleclick Round 2 Bases de données non protégées Unprotected databases... |
| Doubleclick Round 1 Hacké depuis 2 ans? Hacked for 2 years? |
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
D'après vous, quelle est la réaction officielle de doubleclick à notre petit papier?
Pas de réaction...
Un bon vieux classique...
Officieusement, il semblerait que des recherches sont faites pour bien comprendre tout ce qui s'est passé. Mais que en tout cas, on sache déjà qu'il n'y avait rien de grave. Attendons donc l'hypothétique communiqué de presse de Doubleclick pour savoir ce qu'ils vont bien vouloir nous inventer...
Rien de grave... Oui, oui, oui... Heu...
Vraiment?
Allons donc faire un tour sur un serveur qui n'est pas connecté à ceux d'hier ni de près ni de loin (on déconne, comme on ne sait pas ce qu'ils vont bien pouvoir inventer pour dire que ce n'était rien, on imagine déjà un truc du genre: "tout cela c'est du site pur corporate, rien à voir avec notre environnement de production hyper-sécurisé") comme abacusonline.doubleclick.net
C'est quoi ça?
C'est l'une des plus gosses bases de données concernant la population américaine. Et sur ce site, les clients d'Abacusonline peuvent se connecter et interroger la base. Voici comment ils se présentent:
"ABACUS, a division of DoubleClick, Inc., is a world leader in targeted marketing solutions. By combining transactional data, advanced statistical modeling, and our extensive media reach, we help you target the customers most likely to buy your products or services based on who they are and what they already buy.
The Abacus database of buyer behavior is the largest in the United States. It contains over 3.5 billion transactions from more than 90 million U.S. households and includes geographic, demographic, lifestyle, and behavioral data from consumer, retail, business-to-business, and online markets. We span multiple channels (direct mail, email, market research, and Internet advertising) so you can integrate the most broadly-based yet highly targeted marketing campaigns."
No fear!
Bon, bon, bon... Puisqu'il ne s'est rien passé, voici ce que nous pouvons voir de l'extérieur à propos de la bonne qualité de la gestion de ces serveurs pourtant un rien critiques dans le domaine des données personnelles...: rien de moins que le login et le password pour se connecter à une base de données d'abacusonline... No fear! Un bon vieux bug datant du début de l'année dernière tout ce qu"il y a de plus référencé sur securityfocus.com. Et que des serveurs non patchés. Ah, oui, pour info, les sites www.doubleclick.net et www2.doubleclick.net ne sont pas patchés non plus contre ce bug...
Ne parlons même pas du bug unicode qui est présent sous de multiples variantes sur plusieurs sites de Doubleclick. Quand on sait qu'ils ont plus de 1000 serveurs dans le monde... On aura jamais le temps de tous les regarder avant d'être vieux...
:)
Alors on s'arrête là.
