Vulnérabilités
Paypal laissait filtrer les emails de ses clients.
Par Jerome Saiz, le 24 jan 2005 à 00:54:00.
Les adresses emails des abonnés au site de paiement Paypal étaient exposées sur Internet. Il suffisait de modifier une vulgaire adresse web afin d'obtenir à chaque essai l'email d'un nouvel abonné. La faille est désormais neutralisée, mais il reste à Paypal à determiner combien d'adresses de ses clients ont pu être dérobées.
C'est un internaute qui a donné l'alerte sur un forum de discussion : en changeant un numéro dans une simple adresse web de Paypal il a pu obtenir les adresses emails d'autres abonnés au service de paiement.
L'adresse web en question était celle d'un sondage qualité réalisé pour le compte de Paypal par le Benchmark Portal, un sous-traitant. Elle est désormais désactivée mais le mal est fait : il est impossible de savoir combien d'adresses ont été dérobées de la sorte tant que Paypal n'aura pas enquêté. Or ce dernier n'a encore fait aucun commentaire et il ne mentionne pas l'incident sur son site web. Seule confirmation de la brèche : le service en question est "momentanément interrompu".
Comble de l'ironie, l'adresse fautive devait permettre aux abonnés de ne plus recevoir de propositions de sondage par email. Certains d'entre eux risquent de recevoir un peu plus de spam à la place...
Plus d'information
- Le message d'alerte original
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
