Les bases de données de l'Expansion foutent le camp...
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Tout est foireux dans ce cas précis. Ce n'est pas juste le fait d'une personne qui a fait une petite erreur ou qui a oublié de passer un correctif sur son serveur. Non. C'est une accumulation de bêtises qui aboutit à une diffusion massive des données personnelles des lecteurs sur le Net.
Explication...
L'Expansion utilise des serveurs IIS de Microsoft. Ils ne sont pas patchés contre un bug qui permet d'afficher des données qui devraient normalement être cachées. On y trouve le chemin (comme une adresse classique de type www.expansion.com/mabasededonnees/) des bases de données du groupe de presse économique. A priori, mais on y connait rien, la base ne devrait pas du tout être stockée dans le serveur Web.
Bah...
Dernière connerie des administrateurs et des chefs de projets qui doivent visiblement passer plus de temps à jouer aux jeux de bagnoles "Grand Prix (de la Connerie)" qu'à vérifier comment le serveur est monté: l'accès aux bases de données n'est pas protégé par identifiant et mot de passe.
Bilan de l'opération méga-stupidité?
Tout le monde, muni d'un petit navigateur peut télécharger les bases des sites du groupe Expansion. On y trouve de tout pèle-mèle... Les mots de passe des administrateurs, mais aussi toute la liste des abonnés à la mailing list... Amis de la diffusion des données personnelles sur le Net sans aucun contrôle, bienvenue...
Au secours...
Les sites de l'Expansion ne sont, dans leur majorité pas patchés contre les bugs classiques du serveur Web utilisé.. Mais la palme de la connerie revient sûrement à celui qui a la responsabilité de Squarefinance. Car le login et le mot de passe de la base de données SQL est en clair sur une page html du site. Mais surtout, l'identifiant et le mot de passe sont identiques. Diabolique!
;)
Comme quoi, ce n'est pas parce que l'on traîne dans l'Internet depuis longtemps que l'on est bon...
Mais au fond, qui sommes-nous pour juger les gens...
Faudrait juste pas que les abonnés Squarefinance (qui ont un simulateur de portefeuille par exemple) se mettent à simuler des conneries... Enfin bref... Nous, c'qu'on en dit, c'est pour causer hein!?
