Un pirate informatique connu sous le pseudonyme lOlzSec s’est infiltré dans les serveurs de Pearl.fr et en a extirpé une généreuse base de données commerciales par injection SQL.
L’intéressé prétend détenir les informations rattachées à 729 115 comptes d’utilisateurs. En l’occurrence, les adresses postales et électroniques, les numéros de téléphone ou encore les dates de naissance de tous les clients, sans exception.
Il aurait en outre eu accès aux fichiers témoins de quelque 1 115 050 transactions bancaires effectuées sur le site. Le tout était vraisemblablement stocké en clair, sans aucun cryptage, même basique.
Pour affirmer ses velléités, lOlzSec a diffusé partie de ce butin qu’il aurait pu faire fructifier en l’exploitant directement ou en le revendant.
Cela n’a pas été le cas. Les données se sont retrouvées publiées sur la Toile après l’échec de négociations par lesquelles le pirate, revenu sous le couvert d’un message signé de la NullSecurity Team, proposait de se rétracter en échange d’une rançon de 2500 euros.
Quand bien même le ton fataliste de l’appel, doublé d’un ultimatum de 24 heures, prêtait à céder à la tentation, Pearl.fr a proscrit toute conciliation.
Les rouages de la stratégie de lOlzSec étaient pourtant bien huilés. En plus de préciser que la faille était toujours active (les victimes potentielles auront soin de relever tout mouvement suspect sur leur compte bancaire), l’assaillant a fait part de son contrôle total de la situation.
« J’ai mis en place des backdoors sur chacun de vos serveurs. Modifier les mots de passe est donc futile, d’autant plus que je dispose d’une sauvegarde complète de votre base de données« , a-t-il déclaré d’un ton injonctif, menaçant en aparté d’opérer un « défacement » du site.
Pearl.fr, qui entend déposer plainte, a délivré à Zataz sa version des faits, moins pessimiste s’il en est : en tout et pour tout, 3700 comptes compromis et aucune donnée bancaire.
Les victimes présumées se sont néanmoins vu adresser un mail et leurs mots de passe ont été immédiatement réinitialisés. Le système de chiffrement des données est renforcé pour l’occasion.
Crédit image : © VRD – Fotolia.com
Loading ...
La question là est : Les propriétaires de Pearl.fr se sont-ils rendu compte que leurs serveurs ont été piratés ou si ils s’en sont rendu compte quand le dénommé Lolzec les ont appellés…?
La sécurité informatique est trop prise à la légere
Ouaf….
Comment ça au 21ème siècle, il est encore possible de pirater un site avec une pauvre injection SQL !..
Minable…
J’invite les clients Pearl à deposer plainte pour negligence securitaire.
Quand on heberge des donnees sensibles, il faut etre serieux.
Je rejoins les propos de Mamouth sur le type d’attaque qui est loin d’etre une nouveauté. Par ailleurs, toute l’architecture est à remettre en cause : une telle base de données se doit d’etre hébergée dans une DMZ, donc completement inaccessible depuis l’exterieur.
Une DMZ est justement accessible depuis l’extérieur ;)
Située en general en amont des parefeu (ou juste derriere le premier) et sans aucune translation d’adresse.
Hum… Je ne suis pas un pro de la sécurité, mais je peux vous assurer qu’une DMZ est accessible depuis l’extérieur. C’est d’ailleurs là son rôle principal : héberger les services qui doivent être disponible publiquement.
Sinon une injection SQL est toujours possible de nos jours. Si elle est rendu possible ce n’est pas dû à une défaillance logiciel, mais plus à une mauvaise programmation (pas de filtrage des entrées utilisateurs, magic quote désactivées etc…)
Messieurs,
l’injection SQL a bien évolué depuis. Et dans les mains de Lolzec (Ne serait-ce pas « Lulzsec » dailleurs…) c’est une arme extrêmement efficace, encore plus si la sécurité du site fait défaut.