PEBKAC #8979

Pour ma société, je recherche une base de données ou une table de référence qui fasse la correspondance entre codes postaux et un autre champ géré par l'INSEE. Ayant la flemme de parcourir leur site de long en large pour trouver mon information, je tente en premier une recherche dans Google avec des mots-clés tels que « codes postaux » et le champ que je recherche, le tout assaisonné d'un « filetype:sql », histoire de voir de qu'il en sort.

Et là, moi qui pensait trouver un fichier de correspondance basique, je retrouve bien des codes postaux et mon champ, mais associés à une adresse physique, une adresse e-mail, un nom, un prénom, un numéro de téléphone (et j'en passe d'autres sous silence…), et ce sur plusieurs milliers de lignes. Cela provenait d'un club de golf.

Je recherche alors une association nom + prénom + code postal dans Google, et j'arrive par magie sur la page du blog de l'un des membres de ce fichier.
Niveau sécurité, laisser à l'air libre un dump de base de données avec de véritables informations… PEBKAC.

PEBKAC #8979 proposé par Mymy le 24/11/2013 | 13 commentaires | 👍🏽 👎🏽 +202

Rien qu'avec un "filetype:sql", c'est flippant tout ce que l'on peut trouver sur Google.

Commentaire #119509 écrit par Geekimo le 24/11/2013 à 18h48 | 👍🏽 👎🏽

Ouaip, j'y avais jamais pensé, je viens de jeter un coup d'oeil et je suis pas déçu. Heureusement de nos jours les mots de passe sont le plus souvent hashés, mais bon ça reste très largement insuffisant comme protection quand la terre entière peut avoir accès au hash...

Commentaire #119541 écrit par Noraa le 24/11/2013 à 23h53 | 👍🏽 👎🏽

Google® => aide les hackers en herbe depuis 1998

Commentaire #119544 écrit par JeDisÇa le 25/11/2013 à 08h30 | 👍🏽 👎🏽

Du moment que ce club de golf est satisfait de mon travail, je ne comprends pas vos critiques.

Commentaire #119558 écrit par Pifenmoins le 25/11/2013 à 09h08 | 👍🏽 👎🏽

Surtout que la plupart des gens utilisent le même mot de passe pour TOUT (et n'importe quoi), suffit que le hash soit un simple md5 (comme on en voit encore beaucoup) et le tour est joué...

Et même sans parler de ça, rien que l'accès aux différentes coordonnées personnelles fait peur. Après on se demande pourquoi on reçoit tant de spam :-/

Commentaire #119609 écrit par aDev le 25/11/2013 à 13h25 | 👍🏽 👎🏽

Top: ne pas faire cette connerie. Je pense que j'en serais capable par étourderie.

Commentaire #119621 écrit par Elodie Wildstars le 25/11/2013 à 14h04 | 👍🏽 👎🏽

Et tu les as prévenu de ce problème? (anonymement, bien évidemment, sinon c'est un coup à se faire accuser sur la place publique d'avoir voulu pirater leur site...)

Commentaire #119651 écrit par Youplà le 25/11/2013 à 16h25 | 👍🏽 👎🏽

Même pas pensé ! Damn !

Commentaire #119655 écrit par Mymy le 25/11/2013 à 16h43 | 👍🏽 👎🏽

C'est à la CNIL qu'il faut faire un signalement. C'est leur boulot de s'occuper de ce genre de choses, et ça évite de tomber sur des gros c** qui t'accuseront.

Commentaire #119700 écrit par Feanor le 25/11/2013 à 18h54 | 👍🏽 👎🏽

Ah, il me semblait bien que c'était toi qui était à l'origine de cette belle connerie. Alors, sur quoi il tourne ce site moisi ? Obunto avec le bureau Unité ? Avec une FAT128 ?

Nota : je ne fais que citer ce fameux Pifenmoins.

Commentaire #119717 écrit par Aaargh!!! le 25/11/2013 à 19h19 | 👍🏽 👎🏽

J'ai regardé par curiosité aussi et on trouve des choses qui font peur. Des hash de mot de passe (administrateur) présent en rainbow table, des données financière, des salaires etc... J'en ai signalé certains et je crois encore en l'absence de connerie de certains pour ne pas être inquiété, peut être même aurais-je droit à un merci ;).

Commentaire #119745 écrit par Krogoth le 25/11/2013 à 21h27 | 👍🏽 👎🏽

Si j'ai trouvé le même golf que toi, il est au US... Donc là, perso, je ne touche à rien et je les laisse se démerder...

Commentaire #119955 écrit par Geekimo le 26/11/2013 à 18h44 | 👍🏽 👎🏽

Moi qui pensais*

Commentaire #120014 écrit par Vanivan le 27/11/2013 à 10h14 | 👍🏽 👎🏽