Password en GET pour le figaro.fr

Tout ce qui ne mérite pas d'être entendu mais qui doit être dit.

Moderators: Mod, Mod, Mod

Password en GET pour le figaro.fr

Postby SHEPSHEP » Wed Jul 11, 2012 12:23 pm

Yep,

Plusieurs d'entre nous doivent déjà être au courant mais en tapant dans "figaro_commentaires_password=" dans Google et regardant l'Url de plus près on découvre un truc abérant ....

Après avec un peu d'imagination, on adapte

- "gouv.fr figaro_commentaires_password="
- "free.fr figaro_commentaires_password="
etc...

Cela depuis 3 jours et rien n'a encore été fait :roll:
Ca risque de faire des dégâts :?


++
2ShEp
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null

Postby ARMEL » Wed Jul 11, 2012 1:05 pm

Ah, ah :D
[url=http://plus.lefigaro.fr/note/message-aux-internautes-faille-informatique-20120711-1035009]Y a des news malheureusement...[/url]
ARMEL
Projets
 
Posts: 25
Joined: Thu Jan 21, 2010 1:22 pm

Postby KEV-1 » Fri Jul 13, 2012 9:55 am

malheureusement .... ou pas, il reste les moteurs de recherches alternatifs (altavista, lycos etc..)

le plus navrant dans cette histoire c'est le mal "caché" fait pas lefigaro.fr. Une grande partie des utilisateurs utilisent le MEME mot de passe partout, je vous laisse imaginer le désastre...

lefigaro.fr annonce qu'ils ont réinitialisé le mot de passe, mais le ver est dans la pomme....,

Une bonne leçon à tirer : diversifiez vos passwords ! ;) ;) ;)
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby TorTukiTu » Fri Jul 13, 2012 10:10 am

Ça ne m'étonne pas.

Et figaro n'est pas le seul a avoir des horreurs du genre. J'en ait déjà spotté pas mal sur d'autres sites de médias fort connus...

10 contre 1 que la SSII qui a fait le boulot a utilisé un stagiaire.

“You pay peanuts, you get monkey”

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby KEV-1 » Fri Jul 13, 2012 10:48 am

je ne comprend pas non plus qu'une boite avec autant de moyens utilise des systèmes grand public comme drupal... tout le monde est inscrit à la newsletter des failles, et donc tout le monde à accès à leurs failles en temps réel. même s'ils mettent 24h à les corriger, 24h suffit largement pour exploiter les 0days ;)

ces derniers jours, c'est une mauvaise période pour les passwords.... le figaro, yahoo, qui sera le prochain ?
User avatar
KEV-1
 
Posts: 462
Joined: Tue Oct 20, 2009 9:24 pm

Postby GHOSTX_0 » Fri Jul 13, 2012 1:10 pm

Oui c'est vrai que c'est la période ^^
Surtout que la majorité des utilisateurs utilisent le même mot de passe pour l'ensemble de leurs comptes...

hxxp://blog.coresecurity.com/2012/07/12/the-month-of-the-password-hack/
User avatar
GHOSTX_0
Projets
 
Posts: 263
Joined: Mon Aug 24, 2009 6:06 pm

Postby SHEPSHEP » Fri Jul 13, 2012 2:20 pm

[quote:1026aa32d6="TorTuKiTu"]10 contre 1 que la SSII qui a fait le boulot a utilisé un stagiaire. [/quote:1026aa32d6]

Je plussois !!

Comment peux t-on encore laisser un stagiaire bosser sur des sites de cette importance...

Je précise que je n'ai rien contre les stagiaires mais en général, on est stagiaire car on débute et quand on débute on fait des erreurs, c'est "normale".

En restant dans la logique que ce soit un stagiaire, le plus à blâmer est le *%$µ@+# qui l'a mis à bosser la dessus sans l'encadrement d'un pro.

++
2ShEp
SHEPSHEP
Projets
 
Posts: 268
Joined: Wed Apr 08, 2009 11:14 am
Location: /dev/null


Return to Le Bar

Who is online

Users browsing this forum: No registered users and 1 guest

cron