245.000 comptes d'Orange.fr exposés par des hackeurs roumains
Mauvaise publicité pour Orange.
Par une traditionnelle injection SQL, les hackeurs ont pu exploiter une faille et accéder aux données des participants du jeu : adresse e-mail, nom, prénom, et mot de passe.
Orange, qui avait été informé de la faille par les hackers roumains avant la publication du billet, n'a réagi qu'après. Il a depuis fermé l'accès à la page incriminée, en attendant que les corrections nécessaires lui soient apportées. Mais le même blog a révélé aujourd'hui même qu'une autre faille existait, cette fois sur Orange.co.uk. Là aussi, Orange n'a pas réagi lorsque Hackersblog les a contacté, pour savoir d'abord à qui s'adresser.
"Ca pourrait être une leçon pour tous les propriétaires de sites qui ne pensent pas que c'est important d'avoir une adresse e-mail où ils pourraient recevoir des messages du genre 'votre site a été compromis'. Nous attendons souvent deux jours parfois uniquement pour trouver avec qui nous devrions discuter, et ensuite nous attendons deux jours de plus pour qu'ils résolvent le problème", explique 2Fingers, un responsable du site roumain. Lorsqu'un membre du blog a publié la faille, il s'est adressé à Orange pour les avertir et demander à qui s'adresser. Mais il n'a pas eu de réponse. "Je ne trouve pas que ça soit très professionnel, particulièrement pour une entreprise de cette taille. Nous parlons de protéger leurs données privées... mais qui sommes-nous pour les juger ?", écrit le hackeur.