Cakranegara trip... Lasminute.com et ses mots de passe
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange Cette page n'est plus mise à jour depuis août 2001 |
| Taijiquan style Haking (dot com) |
| Sasak style Haking (dot com) |
| Le Match Kitetoa versus Ugly Discoursmarketing |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Il y a des enchères qui valent le détour. Comme nous le signale un internaute lecteur de Kitetoa.com, le site Lastminute.com organise des enchères pour la vente de voyages ou de places de spectacles. Et ce lecteur nous précise que ce site a un petit problème... Ceci dit, personnellement, participer à des enchères pour le spectacle de Cindy (en vente actuellement sur ce site)... Même si l'on me donnait les places... Il faut dire que toutes ces "comédies musicales"... Mais bon, passons à autre chose, je vais encore me faire des amis. Revenons au site en question. Les développeurs du machin avaient laissé un répertoire appelé "include" en lecture pour tous, sans fichier à afficher par défaut pour le visiteur. Dans ce répertoire, on trouvait des fichiers dont les titres se terminaient par ".bak" comme backup j'imagine.
Et dans l'un de ces fichiers, on trouvait le login et le mot de passe de la basede données du site. Une petite merveille donc en matière de développement. Il n'y a pas beaucoup de copies d'écrans liées à ce papier. Il nous a semblé que celle-ci était assez parlante...
Je vais faire ici une petite digression pour les déficients du bulbe qui pensent encore (il y en a qui l'écrivent) que nous tirons un quelconque bénéfice de nos trouvailles sur les sites à trous. Si nous avions ce genre de mentalité, si nous tentions de "monnayer", comme j'ai pu lire récemment, les données que nous trouvons, nous aurions été bien servis avec ce site à enchères. La lecture détaillé des fichiers de configuration se trouvant dans ce répertoire "include" permet en effet d'imaginer ce qu'un pirate pourrait tirer comme "bénéfice" d'une telle trouvaille. L'interrogation subtile de la base de données aurait été fructueuse pour des vilains.
Mais je m'égare à nouveau. La personne contactée chez Lastminute.com nous a remerciés mais semblait prendre la chose avec un calme qui, personnellement me laisse pantois. L'accès au contenu du répertoire a été interdit assez vite, mais le fichier contenant les logins et mots de passe est resté pendant quelques jours. Lorsque nous l'avons signalé, on nous a simplement répondu que tout cela était développé par un prestataire extérieur et qu'il s'en occupait.
Doucement alors... Parce que sept jours plus tard, le fichier était toujours là... Certains diront que le délai de réaction est normal puisque nous sommes dans la période des fêtes et patati et patata. Personnellement, je pensais qu'il y avait des gens d'astreinte chez les prestaires de services informatiques. Et même, à bien y regarder, sur le contrat des clients, cela doit être facturé quelque part...
On met le login et le mot de passe aux enchères? Ca fera plaisir aux spécialistes de la sécurité informatique qui nous décrivent comme des pirates.
Je blague bien entendu...
:)
Comme on est pas trop débiles et qu'il suffit de lire ledit fichier ".bak", on est allé chercher l'argumentaire marketing du prestataire extérieur. On vous le livre ici. Nous vous laissons vous faire une opinion par vous-mêmes...
"Grâce aux Enchères en Temps Réel XXX, vous dotez votre site d'un module d'enchères à la pointe de l'innovation, où vos internautes pourront miser, enchérir et surenchérir en direct... comme dans une véritable salle des ventes!
Les bénéfices des Enchères en Temps Réel XXX
* Un module 100% ludique !
* Générez de nouveaux revenus grâce à un outil transactionnel unique !
* Créez sur votre site les événements qui feront sensation chez les
internautes.
* Augmentez la notoriété de votre marque.
* Recrutez de nouveaux visiteurs et augmentez le trafic de votre site.
* Fidélisez vos internautes et identifiez les centres d'intérêts de votre
communauté
* Renforcez votre relation-client par de nombreux contacts qualifiés.
* Acquérez un leadership technologique en utilisant un service à hautes
performances techniques et à l'interface conviviale.
(Cette dernière phrase, je ne sais pas pourquoi, mais je l'aime bien...)
Comment ça marche ?
* Vous publiez sur votre site un catalogue de vos enchères, avec les
lots
mis en jeu et les horaires d'ouverture des salles de vente
* Les internautes s'inscrivent, fournissent les informations demandées
(coordonnées, vérification bancaire, ...)
* Vous leur fixez un rendez-vous et ils « entrent » dans la salle de
vente
au moment voulu
* Les participants enchérissent et surenchérissent en temps réel
* Vous managez et animez la vente en direct
* Votre liberté est totale pour le paramétrage des lots et des
enchères"
C'est beau comme une start-up dont la peinture vient d'être refaite...
By the way... Google est votre ami.