Sur monsieurgourmand.com , le moins qu'on puisse dire, c'est que les comptes clients se mettent à table.
Identité du client, n° de commande, date, adresses de facturation et de livraison, méthode de paiement et autres détails qui ne devraient vraiment pas être visible à tout un chacun, voilà sur quoi on tombe trop facilement en modifiant l 'adresse du site monsieurgourmand.com, tout sur les informations des commandes en cours ou effectuées.
C'est quand même affreux de savoir que monsieur Tartenpion s'est commandé un magret de canard cru pour les fêtes de fin d'années !
Pire encore, les pages ne possèdent pas les balises META empêchant l'indexation des toutes ces données personnelles. En utilisant un dénominateur commun à toutes les pages (monsieurgourmand.com+l'adresse IP du site, par exemple) et à l'aide d'un moteur de recherche, une brochette de centaines de commandes et données liées s'affiche.
Un rêve pour la concurrence, qui n'a alors plus qu'à profiter d'un fichier précis et ultra qualifié dont on sait que la cible sera sensible à un éventuel démarchage.
source : @korben
2 réactions
1 De MrGourmand.com - 02/04/2010, 17:01
Bonjour,
merci d'avoir mis à jour votre article, effectivement des mesures ont été prises pour pallier au problème remonté. Cela était dû à un module de rewriting utilisé dans le framework du site qui nous à posé problème.
Nous avons également remarqué avec regrets que depuis l'annonce de cet article, ainsi que du message posté par Korben via twitter, une recrudescence des attaques est apparue.
Je trouve dommage que l'information se soit retrouvé publique, mais comme le dit le proverbe "on avance de ses erreurs".
2 De habana - 06/04/2010, 00:57
Votre réactivité atteste finalement de votre bonne foi et de l'attention réelle que vous portez à la vie privée de vos clients.
Si vous le souhaiter, je peux anonymiser l'article de sorte que celui-ci n'apparaîsse plus dans les résultats des moteurs de recherche.