Mauvaise publicité pour Orange. Le site roumain Hackersblog.org affirme qu’il a pu mettre la main sur 245.000 comptes du site Orange.fr, en exploitant une faille sur une page du site d’Orange, dédiée à son jeu « la photo mystère« .

Par une traditionnelle injection SQL, les hackeurs ont pu exploiter une faille et accéder aux données des participants du jeu : adresse e-mail, nom, prénom, et mot de passe.

Orange, qui avait été informé de la faille par les hackers roumains avant la publication du billet, n’a réagi qu’après. Il a depuis fermé l’accès à la page incriminée, en attendant que les corrections nécessaires lui soient apportées. Mais le même blog a révélé aujourd’hui même qu’une autre faille existait, cette fois sur Orange.co.uk. Là aussi, Orange n’a pas réagi lorsque Hackersblog les a contacté, pour savoir d’abord à qui s’adresser.

« Ca pourrait être une leçon pour tous les propriétaires de sites qui ne pensent pas que c’est important d’avoir une adresse e-mail où ils pourraient recevoir des messages du genre ‘votre site a été compromis’. Nous attendons souvent deux jours parfois uniquement pour trouver avec qui nous devrions discuter, et ensuite nous attendons deux jours de plus pour qu’ils résolvent le problème« , explique 2Fingers, un responsable du site roumain. Lorsqu’un membre du blog a publié la faille, il s’est adressé à Orange pour les avertir et demander à qui s’adresser. Mais il n’a pas eu de réponse. « Je ne trouve pas que ça soit très professionnel, particulièrement pour une entreprise de cette taille. Nous parlons de protéger leurs données privées… mais qui sommes-nous pour les juger ?« , écrit le hackeur.

Partager sur les réseaux sociaux

Articles liés