Delicious Digg Facebook Favorites More Stumbleupon Twitter

Intrusio – Chiffres sur les Pentests de la semaine

Cette première semaine fut riche en Pentest. Les cibles ont été déterminées par certaines requêtes Google volontairement ciblées sur des failles connues. Aucune demande volontaire de Pentest n’a encore été effectuée.

Vous pouvez retrouver, à tout moment nos statistiques mises à jour en temps réel sur les Labs Intrusio.

Chiffres de la semaine

12 sites web ont été mis à mal

Nous avons trouvé des failles sur 7 sites qui nous permettraient d’en prendre totalement le contrôle (BDD, FTP, Administration)

5 autres sites contenaient des failles qui permettraient d’en prendre partiellement le contrôle (BDD ou deface ou XSS)

18 867 Comptes utilisateurs auraient pu être récoltés

Environ 30 numéros de cartes de crédit étaient stockées en clair dans une BDD

Secteur d’activité des sites faillibles

3 sites de e-Commerce

2 sites d’administrations Françaises / Ministères

2 Web Agencies (plusieurs sites clients touchés également)

1 Banque

1 Grand journal

Données récupérables par un pirate

~ 900Mo de codes sources

Des devis, factures, contrats, RIB, numéros de SS, numéros de CB, photocopies de pièces d’identité

Accès à l’administration de sites eCommerce pour création de chèques cadeaux, validation de commandes non payées …

Et donc ?

Seulement 2 sites ont répondu à notre alerte, parmi ces 2, un seul a pour le moment changé quelque-chose sur son site mais cela ne corrige pas complètement la faille.

Bref, la sécurité de vos informations n’a pas l’air d’être la priorité de tout le monde et ce sont les plus petites structures, du fait de la facilité à les contacter qui corrigent le plus vite les failles.

J’ose espérer que les choses que nous signalons vont tomber dans les mains de techniciens avertis avant que les failles tombent dans celles de pirates peu scrupuleux.

Intrusio

Trop curieux pour ne pas le faire, trop honnête pour ne pas le dire.