Commentaires : Les données des volontaires du service civique divulguées sur le web!

Une base de données MongoDB, hébergée sur un serveur non protégé, a provoqué la fuite de 1,4 million de dossiers d’utilisateurs, dont ceux de jeunes bénévoles.

1 J'aime

et après ils vont s’étonner que les gens n’installent pas STOPCOVID…

3 J'aime

Titre : « divulguées sur le web ! » (indicatif)
1er paragraphe en gras : « provoqué la fuite » (indicatif)
Dernière partie : la faille a été corrigée, un moteur de recherche avait indexé le fichier, mais il n’y a aucune trace d’intrusion sur le serveur ou de la base sur le web. Donc prudence mais rien de concret.
À quoi doit-on s’en tenir ? Et pourquoi cet usage de l’indicatif pour des choses qui ne sont apparemment pas arrivées ?

Ya encore des devs qui stockent des mots de passe en clair en 2020 ? :man_facepalming:

3 J'aime

Tu as lu l’article en entier (et je t’en remercie d’ailleurs).

Donc tu sais que tout est arrivé, puisque la base de données a été indexée dès le 27 mai (avant la découverte par Comparitech le 30 et sa correction un peu plus tard).

Oui la DB a fuité, oui des données ont été divulguées sur le web. Et telle une histoire que l’on déroule, la chute correspond à sa fin : oui, le tout a été finalement corrigé.

Tout simplement :wink:

Et hélas on ne peut pas faire des titres à rallonge pour tout expliquer dans celui-ci :slight_smile:

1 J'aime

Quand je vois dans ma boite d’IT que certains mots de passes son simplement le nom de la société avec le fameux 123 après ça ne m’étonne pas du tout et le pire c’est que parfois c’est pour accéder à des données sensibles

2 J'aime

déjà il y a 123 …

Et après ils nous font la moral avec le RGPD en menaçant tout le monde d’amandes exorbitantes. :frowning:

1 J'aime

hahah quelle bande de grosses brêles

On peut se demander comment ce ‹ sous-traitant › a été choisi, peut-être la boîte du pote de l’oncle au big boss qui n’avait pourtant aucun projet autre qu’un site web Flash en portfolio, ceci expliquerait cela.

c est des appels d’offre
ils prennnet le moins cher au final

:facepalm:

Deux mille foutus vingt. Et on met des mots de passe sur un serveur non-protégé ? Surtout des mots de passe en clair, si j’ai bien compris, ce qui signifie que personne ne s’est demandé si, au hasard, une fonction de hachage n’aurait pas pu être mise en place pour éviter que quiconque ne puisse lire ces sésames ? Même pas avec un bcrypt ou scrypt ? Pourtant ce ne sont pas les tutoriels qui manquent sur le web pour se charger de ça…

Je suis assez sidérée qu’on laisse encore des bases de données de ce genre à des implanteurs aussi peu scrupuleux. Get the cash and fade out.

oui et moi que personne ne s’en soit rendu compte …tant chez le sous-traitant que chez le donneur d’ordre …

1 J'aime