Forum général.général faut il signaler un probleme de configuration web

Posté par  .
Étiquettes : aucune
0
23
avr.
2008
bonjour

alors voila surfant sur le ternet a la recherche de documentation sur une société, je tombe par hasard (grace a google) sur un repertoire non protege contre les requete direct, bref pas de forbidden.

et la c'est moultes repertoires qui je suppose contiennent des infos qui se trouve accessible directement. juste le temps de constater et de fermer mon navigateur. un ServerTokens Prod a ajouter en passant.

je suis un poil tiraillé par le signaler et que tous ce passe bien (non je ne demande pas d'argent) et refroidi par la mesaventure de moulte gentil geek attaqué en justice par une société qui a mal configuré leur sites et a qui cela a été signalé

je penche plutot pour ne rien dire, il n'y a pas mort d'hommes, et bon c'etait facile la 15 pages de google

et j'ai rendez vous avec une ponte de la boite concerné d'ici 15 jours snif.

des avis ?

  • # Y'en a tellement comme ça...

    Posté par  . Évalué à 4.

    Sans chercher à te répondre, juste une réflexion en passant.

    sur Google, tape intitle:"index.of" -> 65 200 000 résultats...

    • [^] # Re: Y'en a tellement comme ça...

      Posté par  . Évalué à 3.

      intitle:"index.of" -ftp

      même

      Sinon je suis tomber un jour sur un service de commande de produit pharmacetique réserver à une poignée de concerné.

      http://www.vitalepharma.net/

      C'était accessible en admin/admin. J'ai envoyer un mail à l'admin. Suite au mail cette intranet bien régler à été reconfigurer.

      Allez toi aussi fait le white hat

      hola ~-~-~-> [ ]

      • [^] # Re: Y'en a tellement comme ça...

        Posté par  . Évalué à 2.

        il y a une maison d'édition qui a laissé la totalité de son catalogue (plus de 10000 titres) en pdf et en sources .doc (en fait quand ils proposent d'acheter un titre en pdf, cela relie direct dans un dossier non protégé, mais les couvertures, en libre accès, sont dans le même dossier).
        Cela a été signalé sur un site internet qui en parlait en 2006, toujours pas corrigé...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

      • [^] # Re: Y'en a tellement comme ça...

        Posté par  . Évalué à 1.

        Enorme.

        En faisant cette recherche sous google, première page : ambafrance-it.org qui n'est pas du tout protégé....

        J'ai pas cherché plus loin mais c'est quand meme halucinant.

    • [^] # Re: Y'en a tellement comme ça...

      Posté par  . Évalué à 2.

      Intéressant cela m'a inspiré ce bookmarklet:
      javascript:location="http"+"://www.google.com/search?q=*%20intitle:'index.of' site:"+location.host

  • # Obligation de protéger ses données

    Posté par  . Évalué à 3.

    D'apres mes vieux cours de sécurité (2 ans c'est vieux pour moi), une société a l'OBLIGATION LEGALE de protéger ses données (enfin certaines données - comptabilité, données sur le personnel, etc...).

    De plus, pour que tu puisse être attaqué, il faut que tu aies agi INTENTIONNELLEMENT, hors ce n'est pas le cas, tu as accédé a ces données accidentellement, au détour d'une recherche Google.

    Donc d'après moi tu n'as pas à hésiter, tu peux très bien contacter la société en question. Mais bon, je suis pas juriste et je ne m'engage PAS à payer une éventuelle amende à ta place...

    PS : par contre je pense que tu as bien fait de ne pas citer ni le nom de la société ni l'adresse à laquelle les données sont disponibles, là c'etait deja plus pareil...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.