QNTNKSR

"Les données de milliers de voyageurs de la SNCB publiées sur Internet"

Posted in infosec by Quentin Kaiser on 22 décembre 2012

emailvision

Origine

La SNCB subit de nombreuses "attaques" depuis son arrivée dans le secteur numérique; on se souvient par exemple de ceci ou encore de cela.  Un trait commun à ces attaques, l’utilisation très large du terme piratage pour définir une négligence de leur part.

Aujourd’hui, c’est le manque de détails qui m’a particulièrement attiré.

Tout commence par un tweet de la NURPA, renvoyant vers cet article de RTLinfo où l’on apprend du porte-parole de la SNCB Thierry Ney qu’un listing client destiné à être utilisé dans une campagne de mass mailing concernant les fêtes de fin d’année s’est retrouvé dans la nature suite à un piratage effectuée par une personne ayant usé de stratagème afin d’obtenir un accès à une partie du site qui n’est normalement pas accessibles aux utilisateurs lambda.

Après un long fou rire, je décide donc d’en savoir plus…

Google dork

Si vous ne le savez pas, le moteur de recherche de google permet d’effectuer des recherches très précise en effectuant des recherches sur les méta-données¹. Effectuer des recherches sur ces méta-données permet de cibler très précisément une victime potentielle, cela s’appelle le google dorking. Analysons encore une fois la vidéo, on indique que le site web attaqué est b-europe.com. Nous commençons donc notre recherche par inurl:b-europe.com, premiers résultats, rien à se mettre sous la dent. Ensuite on voit le journaliste parcourir le listing, évidemment flouté. Le document est consulté depuis un navigateur tournant sous windows xp, exit donc les documents office, pdf et archives. Quoi de plus simple qu’un vulgaire txt ? J’inscris donc filetype:txt à la suite de ma recherche. Bingo !

Bingo !

Bingo !

Evidemment, le(s) employé(s) qui ont déposé le document ce sont fait taper sur les doigts par leur chef de projet et le document a disparu depuis. Et fort heureusement pour la SNCB, Google ne l’a plus dans son cache.

Emailvision.txt

Ne voulant pas m’arrêter en si bon chemin, je décide d’effectuer une recherche sur le nom du document pour voir si le "pirate" ne l’aurait pas déposé sur pastebin. J’y apprend qu’Emailvision est une API python permettant de faire du mass mailing, pas mal, mais je découvre plus que ça en tombant sur l’identité du fameux "pirate".  Habitué du forum adsl-bc, ilindique dans ce post qu’un listing client appartenant à la SNCB est visible publiquement avec une simple recherche google. Utilisateur qui a eu la bonne réaction d’éditer son post afin d’enlever l’url incriminée.

Affaire conclue.

Donc la SNCB, quelques règles à suivre pour éviter de se faire "pirater" :

- modifier vos robots.txt afin que le moteur d’indexation de Google évite de parcourir vos documents confidentiels
- éviter de stocker ce type de document sur des serveurs web publique

Bien à vous,

Un internaute bienveillant.

1. Données décrivant d’autres données, comme le type de fichier, sa taille, sa date de création.

Tagged with: , ,
Suivre

Recevez les nouvelles publications par mail.