Une faille de sécurité colmatée chez La Poste

Nous vous en avons parlé il y a quelques jours. Postcible.com est le service de mailing de La Poste, créé en ASP, une technologie de pages dynamiques signée Microsoft. Grâce à ce site, les entreprises en mal de reconnaissance peuvent louer des fichiers et inonder vos boîtes aux lettres de prospectus divers. Le fichier cible « qualifié et fiable » est, accrochez-vous, de 19 millions de particuliers et 3 millions d'entreprises abonnés au téléphone ! Une « offre sans équivalent sur le marché ». Et inquiétante : Frinnock, un gentil lecteur, y a trouvé une grosse faille de sécurité. Lorsqu'ils s'abonnent, les partenaires de Postcible se voient attribuer un login et un compte. Ils peuvent alors lire leurs contrats en cours et les courriers commerciaux relatifs. Problème : tout internaute peut consulter ces données en toute simplicité et pourquoi pas, adresser à son tour un mailing à tous les clients de PostCible ! Il lui suffit d'entrer l'adresse 213.41.13.254/6_CONTRAT_IMP.ASP?CleCompt=200308280XXX, avec XXX, les trois chiffres identifiant le numéro du contrat. A l'adresse postcible.com/recettage_v2/7_IMP_COUR_ACC_COM.ASP?CleCompt=200308280XXX, il lira en sus les différents courriers d'affaires respectifs ! (www.acbm.com/inedits/images/laposte-GPC.jpg). PostCible a été évidemment prévenue avant cette diffusion et a depuis tout corrigé, grâce à notre lecteur. Dire que Pirates Mag' est accusé d'aider au piratage par la Poste...

Vous voulez soutenir une information indépendante ? Rejoignez notre Club privé !

Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.

[homepage] [RSS] [archives]
[contact & legal & cookies] [since 1997]