Je suis une grosse boutique en ligne de Ecig qui expose les données personnelles de ses clients… qui suis-je ?

Tout est dans le titre, je vous offre juste une image… nous parlons d’un des plus gros commerçants chinois de matos de vape, nous parlons de centaines de milliers de clients… si vous êtes client, vos données sont probablement déjà dans la nature. Voici donc un conseil à prendre en compte : n’utilisez jamais votre mot de passe « habituel » (NB : surtout pas celui de votre compte Paypal ou de votre mail) en mot de passe du compte des commerçants en ligne (chinois ou pas), si c’est le cas, changez au plus vite votre mot de passe Paypal, le commerçant ne semble pas avoir pris notre avertissement au sérieux… et c’est une monumentale erreur.

pwpwpwpw

Partager cet article :

Twitter Facebook Google Plus mail

47 comments

  1. Alors remettons les choses aux clair.
    J’imagine que le rédacteur de l’article n’a pas de vaste connaissance en programmation, même si il ne faut pas utiliser son même mot de passe pour des données sensible, et pour des sites « normaux »
    Ce que vous voyez sur le screenshot, est simplement une erreur d’un ficher qui n’a pas été trouvé (l’erreur veux dire qu’une partie du chemin vers un fichier n’a pas pu être trouvé) et en AUCUN cas elle ne peut être utilisé afin d’avoir accès aux information sur les base de données.
    C’est comme trouver une erreur 404 sur un site et dire qu’il y a une faille de sécurité et que toutes les données sont dans la nature.
    Donc ce n’est en aucun cas une faille de sécuritée

    1. Victor, merci de lire le message que je t’ai laissé sur Facebook avant de raconter des conneries, merci également de taper mon pseudo dans google avant de venir m’expliquer comment fonctionne la sécurité sur .Net et les permissions sur un fichier de config affiché en Debug sur un serveur en prod. D’ailleurs si t’es si fort que tu sembles le prétendre tu devrais savoir que visual studio désactive normalement le débug tout seul comme un grand… devine pourquoi ?

      « Ce que vous voyez sur le screenshot, est simplement une erreur d’un ficher qui n’a pas été trouvé  »
      … montre la lune à un singe qui regarde ton doigt….

      1. Il devrait se renseigner un minimum et ou voir un peu ton passé, j’en sais très peu sur toi, mais du peu que j’ai vu rien que du fait que tu avais eu un tribunal(dont tu parles sur un des articles de ce blog si je me souviens bien), ça démontrait en gros que tu étais + informé et « connaisseur, codeur, presque hacker etc, du « coté blanc », enfin bon parfois on est gris, mais je considère ton gris très blanc comparé à ce qu’on voit sur le net :))…

  2. Evidemment cette image ne m’indique rien du tout à moi ^^ Mais dans le doute j’ai modifié mon mdp. Cela dit, si faille il y a le nouveau est aussi dans la nature non ? Or donc Quid ? En revanche, évidemment celui que j’utilise pour PP est unique et inconnu de tous (et meme de moi d’ailleurs, parfois ^^) J’ai une question tiens sur le sujet. Je me suis inscrite l’autre jour sur un site- coordonnées, mdp etc.. Lorsque j’ai reçu en retour le mail de confirmation, avec copies des infos : pseudo et mdp, j’ai eu l’impression qu’il émanait directement du gérant du site et que donc celui-ci avait eu connaissance de mon mdp. Possible à ton avis ou bien ou quoi ?

    1. Si tu as utilisé un mot de passe identique à ton mail / fb / paypal sur un de ces sites, ce sont les mots de passe de tes comptes « sensibles » qu’il faut modifier, pas celui de ce commerçant (ce mot de passe tu peux le considérer comme mort).

      1. Pas nécessairement bluetouff … même si en général, ca sera le cas. Un password peut très bien être stocké crypté (aes256 au hasard avec en plus une clé variable propre à chaque compte 😉 ) dans la base de données et décrypté pour le renvoi par mail … Par contre ce seul renvoi par mail en clair est à lui seul une faille de premier ordre) … Mais c’est vrai que comme 90 % utilisent le très faible et non réversible MD5, password en clair c’est pas bon signe 😉

        1. Ca m’a un peu agacé de fait. Parce qu’en plus, un site bien connu, pas le p’tit nouveau de la semaine quoi. Bon, myfreecig, pour le nommer. Mais Pffff quoi !

        2. Oui tu as factuellement raison, mon point était surtout de mettre le doigt sur la mauvaise pratique. Ensuite le déchiffrement aes en per user, c’est un peu comme les certifs x501 en DH avec un chiffrement per session et sans masterkey, c’est un principe que tout le monde connait mais que personne ne met en place…

        3. et cela dit, ils t’ont répondu les chinois là ou bien ? Des corrections sont apportées ? @Stingray. Lis attentivement, stp, avant de parler

  3. J’ai du mal à comprendre la vulnérabilité et je ne connais pas le fonctionnement du serveur qui héberge le site et ce forum, donc ça va peut-être paraitre bête comme question mais est-ce que seuls les mots de passes ont put être récupérés? Si il s’agit d’une boutique, numéro de carte bancaire, adresses et autres infos personnelles mois faciles à changer ne sont pas récupérables?

    1. La vulnérabilité est simple : elle affiche un chemin complet de fichier de config qui est servi avec les mauvaises permissions sans protection d’extension… avec un mot de passe en clair et des droits système pour l’accès bdd. C’est au bas mot.. critique.

      1. J’avais loupé le « Config.cs », merci de l’éclaircissement. Si ce n’est pas corrigé après avoir été avertis, ce n’est plus de l’incompétence technique, c’est de l’irrésponsabilité, ce qui est beaucoup trop courant malheureusement…

    2. NB : les données bancaires ne sont pas stockées chez le commerçant, en revanche, cette bdd contient les mots de passe des utilisateurs qui ont un compte. Et comme l’explique succinctement l’article, c’est une mauvaise idée d’utiliser le même passe pour ce compte que pour son compte paypal.

  4. en général je ne donne meme pas mon email réel(un compte email ne servant quà des choses temporaires et sans info « sensible » en m’inscrivant à un site, mais parfois j’ai peur de l’email qu’on relie au paypal, je pense que c’est un peu anormal de donner avec le sys de payement l’email qui peut en gros servir à récupèrer et changer le mot de passe.dès qu’on paye avec paypal, la personne qui reçoit l’argent connait le mail relié à paypal il me semble?

      1. Non mais quand on paye avec paypal et que la personne qui reçoit les sous va dans son paypal elle peut voir avec quel email on a payé il me semble? sans que je lui aie donné, juste parce que j’ai payé avec paypal, il voit avec quel email ce paypal est lié, enfin moi quand je recois des € de qq’un par paypal il me semble que je sais voir son email lié au paypal, ou comme si pour une CG on doit payer, il va nous donner le mail qu’on entre pour dire la ou on veut envoyer les €. Tu comprends ce que je veux dire?

  5. Merdi pour l’info Bluetooth !
    Dire que j’ai ce message depuis quelques jours sur Google, et par comtre pas sur un autre comme celui installer d’office sur ma tablette.
    Heureusement ce n’est pas le mot de passe de site très sensible, mais quand même !
    Dire que pour une fois j’avais une journée emplie de bonheur avec l’arrivée de mon Linya….et ME..E !!!!

      1. Salut Bluetooth,
        Oui j’ai eu une photo de mon paquet DHL par Gatub.
        Et Yahouuuuuuuuuuuuuuu…j’ai reçu mon Linya lundi midi.
        Switch très souple, vape…comment dire…comme un doux nuage envahissant doucement la bouche, tout en étant puissant.
        Je n’avais pas encore connu ce genre de vape…c’est peut-être psychologique aussi, vu que je craquais déjà sur le Tahiti que je n’ai jamais pu avoir 🙁
        Mais bon l’Evod, le Darang et les Primera devraient me consoler.
        Et encore je suis sur un Kaiser, si j’ai le temps je fera les huits coils de mon Myura aujourd’hui 🙂

        1. J’ai beaucoup commandé sur ce site, et compte encore en faire. Style le Lancelot blanc que je n’ai pas encore vu ailleurs et que je trouve très classe.
          Tu penses que ça craint ?
          Je suis nul dans ce domaine.
          Et oui même si je suis tombé grave dans l’achat compulsif d’originaux ces 15 derniers jours, je consomme encore du clone lol
          Et j’ai un peu bouffé, même beaucoup bouffé mes économies…Oupsss

  6. Des failles, il y a partout même le serveur de la CIA arrive a être pirater ! Un hacker, (un vrai) arrivera toujours à récupérer ce qu’il veut et peu importé si vous 3 adresse mail différentes avec 3 mdp différents si il le souhaite il vous plumera ! Mais le vrai but d’un hacker et de trouver une faille dans un système le voleur lui et de vous voler ! Pour bien connaître le milieu je peut vous garantir qu’un hacker n’a que faire de vos compte paypal ou ft ce qu’il cherche c’est la faille ! Pourquoi ? Pour son plaisir et divulguer ces failles afin que les sites mis en cause soit améliorer et renforcé 😉

      1. Pour faire parti du monde du hack je peut te dire que c’est toi qui vie chez les bisounours ! Je pratique le hack depuis plus de 10 ans et je te garantie que j’ai jamais pris un num de carte bleue à des fins personnel pourtant j’en ai vu crois moi ! Comme je te l’ai dis tu confond hackeur et voleur 😉

        1. Il ne confond certainement pas… Il vous suffit de regarder une vidéo ou il est interviewé et explique ce qu’est le hack, ou encore ses nombreux articles.

        2. C’est pas parce que Mr bluetouff à fais une vidéo qui explique que le hack c’est du vol ( de donnée ou autre que c’est vrai ! ) le hack c’est la recherche de faille et l’exploitation de celle ci ! Ni plus ni moins !

        3. Ton hotmail et ton UA m’ont suffit à comprendre que tu es windosien et ton twitter que tu es un gamer.
          On ne s’auto proclame pas hacker, on te désigne en tant que tel. Et pour moi tu es un gamer.
          Bref j’ai pas envie de faire un concours de zigounette avec toi, ce site existe pour causer vape, pas wintendo.

          bisous.

        4. Mdr j’ai une vie tu sais j’ai un windaube certes gamer certes mais je décrypte sous debian car je suis avant tout linuxien allé ciao mon petit

        5. Tu décryptes sous Debian ? tu décrypte quoi au juste ?
          Parce que moi ce que je déchiffre dans tes propos c’est que tu as visiblement déjà du mal à faire la différence entre cryptage et chiffrement… la base quoi.

        6. 92.90.XXX.222 – « Mozilla/5.0 (iPhone; CPU iPhone OS 6_1_3 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10B329 Safari/8536.25 »

          Et là je déchiffre que pour un débianeux, utiliser ios 6 🙂 C’est mignon.
          Tu peux continuer à me chauffer « mon petit », mais il y’a un moment tu vas être ridicule.

        7. Pauvre misère va ! Je suis pété de rire ! L’autre crois se faire passé pour un hackeur parce qu’il a relevé ce que son hébergeur de site lui a dis mdr ! Allé tourne moi en ridicule je t’en prie et montre moi ce que tu as dans le bide récupère les données stocké dans iPhone que je rigole et trouve mon identité réel pendant que tu y es mdr ! Allé j’arrête avec ton blog pourris mais t’es pas a l’abris que je lui passe dessus avec mon Linux sur ton blog 😉 aller monsieur le gros hackeur qui fais peur je te laisse car j’ai une vie bisous

        8. Pauvre benet que tu es… tu es un hacker qui n’a jamais vu un log Apache et qui ne sait même pas faire la différence entre un mutualisé et un dédié… Tu peux passer avec ce que tu veux ici ça te changera de tes sites de gamer warlordz. Tu es un surtout un gamer boutonneux qui se prend pour un « anonymous » et utilise des mots dont il ne maîtrise pas le moindre concept.

          Je sais très bien à quoi ressemble ta vie, tiens, je te fais un dessin :

          Franchement il n’y a pas de quoi se la ramener… Bon hack de bac à sable à toi.

      2. Vu que ça t’amuse toi et tes tarlouzes de potes de faire les cons sur tweeter ( que je n’utilise plus depuis longtemps d’ailleurs 😉 ) je vais m’amuser aussi aussi hein Olivier et si tu gonfle je vais venir te rendre une petite visite a Orléans hein Olivier et je ferais une bise à Delphine aussi 😉

        1. Oui tu as raison, menace moi c’est une bonne idée 😉
          T’es un grand comique toi.
          Tu veux pas plutôt aller hacker un bon bouquin de grammaire et revenir nous étaler tes sploitz playstation quand tu auras fini ta puberté ?

  7. «  » »Et il s’agit bien d’un site chinois Mamabri, rien à voir avec Myfree-Cig » » »

    Bon, pardon alors, je meaculpe ; c’est moi qui me suis mal exprimée sans doute.
    Myfreecig c’est le site qui m’a renvoyé mon mdp et pseudo en clair, suite à la création de mon compte.

    Pour l’autre site dont tu parles ici, j’ai bien compris et je pense que tt le monde a bien compris aussi de qui il s’agit. C’est pour quelle raison cet « pseudo » secret sur leur nom ?

    1. Parce que tous les gens sur le net ne sont pas des vapoteurs sympas et qu’on parle quand même de données personnelles. Tant qu’il y a un risque sur ces données, ce n’est pas la peine d’aller inciter des personnes moins bienveillantes d’aller mettre la main dessus 😉
      Vu que le risque majeur est maintenant écarté (même si le serveur est toujours en débug), vous aurez compris qu’il s’agit de focalecig.

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *