ADSL-BC

[Wank]

Mon cher Psycho, il est temps de faire un voeu.

[emilieninformatique]

Non, ce n'est pas du tout le même genre d'affaire: venant de l’armée belge (ou plus exactement du semblant d'armée belge qui subsiste), ce serait plutôt l'absence de fuites de données qui aurait dû faire la une...

Quand je pense qu'à une certaine époque j'avais envisagé de faire carrière à l'armée comme officier....c'est fou ce qu'on peut être con quand on est jeune... ....et le rester plus tard...

[binarygirl]

La conséquence de ce leak est que beaucoup de personnes vont devoir changer de numéro de GSM.

[fbX]

en tout cas, les .mils sont plus réactifs que la sncb

[clear.be]

Comme ils ont vraisemblablement du mal à être crédible quand à leur version du "on a été piraté" ils changent leur fusil d'épaule et s'attaquent maintenant au petit pekin dans leur personnel :

http://www.lesoir.be/148494/article/act ... ur-humaine

Comme d'habitude c'est le petit qui va payer les pots cassés... et les "chefs" vont s'en sortir sans problèmes...

[psyko]

Comme ils ont vraisemblablement du mal à être crédible quand à leur version du "on a été piraté" ils changent leur fusil d'épaule et s'attaquent maintenant au petit pekin dans leur personnel :

http://www.lesoir.be/148494/article/act ... ur-humaine

Comme d'habitude c'est le petit qui va payer les pots cassés... et les "chefs" vont s'en sortir sans problèmes...

Comme toujours, on se demande pourquoi il y a autant de chefs qui n'endossent aucune responsabilité

[binarygirl]

A mon avis, c'est bien une erreur humaine.

Quelqu'un a dû exporter un dump de la DB en vitesse pour une opération de mailing ponctuelle ou transfert de la DB entre deux serveurs, mais ne l'a pas retiré immédiatement.
C'est de la bidouille par contre, ça ne se fait pas en cliquant simplement sur un bouton comme ils disent.

Plus d'une fois, j'ai vu des sites wordpress et autres avec le dump mySQL accessible...
Il y a des webmasters qui oublient de retirer certains fichiers backup lorsqu'ils transfèrent leurs sites

Google: filetype:sql

[clear.be]

Bien entendu que c'est une erreur humaine, le fichier n'est pas arrivé là par miracle.

Le problème c'est que y'aura aucun (ir-)responsable qui va prendre justement ses responsabilité et assumer le fait qu'il y a des graves problèmes de politique de sécurité IT chez eux...

[Dindon]

Depuis quand on donne comme destination aux dumps des répertoires public?

c'est vraiment une grosse erreur de débutant.

[Dindon]

Bien entendu que c'est une erreur humaine, le fichier n'est pas arrivé là par miracle.

Le problème c'est que y'aura aucun (ir-)responsable qui va prendre justement ses responsabilité et assumer le fait qu'il y a des graves problèmes de politique de sécurité IT chez eux...

Comme malheureusement presque toutes les grosses boites......

[Thierry69]

Je me demande combien aura coûté cet audit....

Il me semble avoir lu que c'était un audit externe non, donc payant

[clear.be]

Depuis quand on donne comme destination aux dumps des répertoires public?

Je pense que ça a été fait pour transférer "facilement" ce fichier vers un endroit ou il n'était pas possible de l'envoyer par d'autres moyens, a cause d'un firewall ou un proxy p.ex.

Cela n'en reste pas moins stupide, mais je ne vois que cette explication

[ced64k]

Je me demande comment les moteurs de recherche ont pu tomber dessus. Quelqu'un se souvient si le dossier http://www.b-europe.com/Media/files/ pouvait être listé ?

[Lecter H]

Comme ils ont vraisemblablement du mal à être crédible quand à leur version du "on a été piraté" ils changent leur fusil d'épaule et s'attaquent maintenant au petit pekin dans leur personnel :

http://www.lesoir.be/148494/article/act ... ur-humaine

Comme d'habitude c'est le petit qui va payer les pots cassés... et les "chefs" vont s'en sortir sans problèmes...

C'est quand même incroyable l'évolution de la communication à la SNCB : depuis le pirate qui a usé d'un stratagème depuis l'extérieur jusqu'à finalement la reconnaissance d'un employé en interne qui a commis une boulette : quelle évolution !
Si on tire un rapide bilan aujourd'hui : Le fichier accessible par tous était une erreur, la communication aussi !

[psyko]

Depuis quand on donne comme destination aux dumps des répertoires public?

Je pense que ça a été fait pour transférer "facilement" ce fichier vers un endroit ou il n'était pas possible de l'envoyer par d'autres moyens, a cause d'un firewall ou un proxy p.ex.

Cela n'en reste pas moins stupide, mais je ne vois que cette explication

ça aurait été encore plus sécurisé via rapidshare

[binarygirl]

Depuis quand on donne comme destination aux dumps des répertoires public?

c'est vraiment une grosse erreur de débutant.

A mon avis les raisons:

1. Quand on veut exporter un dump de DB c'est en général plus facile d'exporter le fichier sur le même serveur. (moins de restrictions, pb de droits)
2. On veut faire vite
3. Les employés n'avaient probablement pas conscience que le contenu du répertoire était listé
4. Et surtout: le fichier n'était sans doute pas censé rester longtemps: juste qq minutes, le temps de la manip

Si le fichier avait été exporté au delà de la racine du site web, il n'aurait pas été visible.

Il n'y a pas qu'à la sncb que ce genre de truc arrive, car beaucoup de webmasters ne se rendent pas compte que leurs sites ont aussi des répertoires dont le contenu est listable et indexé par les moteurs de recherche.

Le problème c'est quand on laisse traîner sur un site web des docs qui n'ont rien à y faire.

Commande google pour voir les pages/documents indexés sur votre site:

site:votresite.com

Certains auraient des surprises

[clear.be]

Je me demande comment les moteurs de recherche ont pu tomber dessus. Quelqu'un se souvient si le dossier http://www.b-europe.com/Media/files/ pouvait être listé ?

Il était browsable oui...

Le dossier en question ne l'est plus, mais les sous dossiers le sont toujours...

Ils on vraiment réglé le problème en profondeur

Rien de croustillant à se mettre sous la dent malheureusement dans ces sous dossiers...

[binarygirl]

Je me demande combien aura coûté cet audit....

Il me semble avoir lu que c'était un audit externe non, donc payant

C'est le contribuable qui paie donc c'est comme si c'était gratuit

Il y a des audits de sécurité périodiques qui ont lieu aussi, mais ça n'empêchera pas les boulettes si le reste du temps les employés ne travaillent pas de manière rigoureuse.

[solar10]

Comme ils ont vraisemblablement du mal à être crédible quand à leur version du "on a été piraté" ils changent leur fusil d'épaule et s'attaquent maintenant au petit pekin dans leur personnel :

http://www.lesoir.be/148494/article/act ... ur-humaine

Comme d'habitude c'est le petit qui va payer les pots cassés... et les "chefs" vont s'en sortir sans problèmes...

ET il y en a qui vont croire celle-là? Sérieusement?

En effet, la piste la plus probable retenue à l’heure actuelle par l’opérateur ferroviaire est celle de la "boulette" technique d’un employé de la SNCB Europe. Cette personne, qui apparemment a été identifiée, n’avait pas d’intention malveillante, mais aurait, affirme une source interne à la SNCB, simplement appuyé sur le mauvais bouton au mauvais moment

Quand tu lances un script, copie/déplace un fichier, oui tu peux faire un click de travers mais tu laisses pas un fichier trainer en accès publique pendant un mois. C'est de l'incompétence totale. Ouvrir le parapluie de l'audit annuel c'est pareil que le gamin qui se fait prendre le doigt dans le pot de confiture et accuse Maurice. Tous les webmasters en herbe savent comment on protège un répertoire pourvu qu'ils lisent un minimum de documentation.

[binarygirl]

Tous les webmasters en herbe savent comment on protège un répertoire pourvu qu'ils lisent un minimum de documentation.

Malheureusement, beaucoup de webmasters qui ne maîtrisent pas la technique, et la sécurité n'en parlons pas.

Plus d'une fois j'ai vu des webmasters indiquer des répertoires dans le fichier robots.txt, en croyant que les robots seront ainsi bloqués. Au contraire, les robots sont libres d'ignorer cette directive. Pire encore, cela attire l'attention sur le contenu que vous ne voulez pas divulguer
Une des premières chose qu'un hacker fera, c'est consulter le fichier robots.txt.

Un .htaccess peut bloquer les bots mais pas robots.txt...

Et encore, .htaccess c'est sur un serveur Apache. Si vous déménagez vos sites vers un serveur nginx ou autre, les .htaccess seront inopérants. Mais tout le monde ne le sait pas...