Mis au grand jour par le site PasteBin, un hack a récemment réussi à toucher la boutique Orange.fr. Le hack en question, tirant parti d’une faille SQL (et basée sur de l’Injection SQL) aura permis au hackeur (un certain HiddenTapz) de collecter diverses données en relation avec certains clients du site. Comprenez : si vous faites parti des clients de l’opérateur, pensez à effectuer quelques vérifications…
Pour autant, notre homme a avoué avoir pu se “ballader” si l’on peut dire au sein d’autres sites appartenant à l’opérateur, et s’être rangé du côté du peuple Français, de son point de vue “de plus en plus opprimé.” Il ne devrait en toute logique pas fournir les données concernant la faille qu’il a utilisé à Orange, de son avis trop laxiste sur la question de la sécurité.
Orange, de son côté, s’est depuis fendu d’un communiqué de presse, expliquant qu’il était bel et bien au courant de l’intrusion. Affaire à suivre…
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Il ne fallait pas déconner en disant qu’on voulait brider internet! 🙂
Si ce n’était pas ce gars, ça aurait été tout un groupe d’anonymous tôt ou tard.
Fail pour le premier opérateur français 😮
Bah ils ont un site à leur image, remplis d’incohérence…
Et merde! encore un mot de passe à changer…
Bravo Orange…
J’leur reprochais déjà de proposer des sites lourds, moches et mal foutus sur certains points, mais alors si en plus ils planent avec la sécurité…
Puis v’là la faille à 2 ronds : injection SQL, le truc que le premier idiot ayant quelques connaissances de base en SQL peut réaliser quoi…
Bref, Orange ToDo List :
– réviser la fonction mysql_real_escape_string
– comprendre l’intérêt de son couplage avec divers contrôles sur le type des variables transmises
– insertion des données traitées et échappées proprement via sprintf() avant requête en BDD
Ca fera déjà une bonne base je pense
Il aurait du s’envoyer quelque smartphone par la même occasion…
Mais que fait HADOPI !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Négligence de sécurité caractérisé. Aller boum 6 mois de coupure internet ou Bompard.
blender tes con ou quoi ? HADOPI = les cracks keygen film telechargé y s’ent branle de orange
Comment ça orange utilise toujours magix quote ?! Ah oui, ça fait bien une dizaine d’année qu’on a pas fait de MAJ chez eux, remarque pas étonnant vu le design de leurs sites…; 😳
J’ai une super phrase qui va déprimer les commerçiaux d’orange: Ca n’arrive pas chez mon opérateur.
J’ai dans l’idée que ça fait depuis fin mai que ce petit malin a réussi son hack.
Un certain lol15 postait un message relatant le hash du mot de passe root sur un forum de récupération de password monayable (via des machines faisant tourner JtR avec les rainbow tables qui vont bien) : 6a02198316bc96ee un 31 mai. C’est louche quand même…
Et déja une bonne centaine d’abrutit qui disent que c’est anonymous…
Vous avez du retard les gens.