La rédaction de ZATAZ.COM a pu constater que le site officiel du géant de l'informatique Hewlett-Packard (H.P.) permettait aux spammeurs de fabriquer une petite base de données d'adresses électroniques à moindre frais. Une possibilité que H.P. n'avait pas prévu dans le code de son site Internet HP.COM.
Nous n'expliquerons pas la méthode, ni l'url qui permet la fuite. Notre dernière constatation a été de chiffrer une base de données de 1 458 511 adresses e-mails. Vous avez bien lu, à partir du site officiel du constructeur, près d'un million et demi d'adresses appartenant à des Français, Suisses, Anglais, Espagnols.
Un bug idiot dans la protection des données fournies qui permet de récupérer, à partir d'une page officielle du site, les noms, prénoms et adresses électroniques d'internaute s'étant inscrit à l'une des news-letter de la firme.
Mise à jour : 1 heure après notre alerte, un représentant de HP contactait la rédaction de ZATAZ.COM. Le problème a été corrigé quelques minutes plus tard. A noter que la faille ne touchait pas une mais plusieurs news-letter (La Pro et les Particuliers avec +/- 5 millions de courriels et identités). La boulette se situait tout simplement dans l'url de la news-letter. Il suffisait de changer un chiffre dans l'adresse électronique (id=1449999) pour se retrouver avec les coordonnées des autres abonnés. Le même problème avait touché Orange en janvier dernier [lire]. Nous révélions que le FAI Français ne protégeait pas correctement les informations privées [noms, adresses, téléphones, produits, ...] de plusieurs centaines de milliers de clients.
Auteur : Damien Bancal, Zataz
Continuer avec Linkedin