Close Menu
    Francia

    AVVISO DI SICUREZZA: pagina di collegamento per i siti del gruppo BPCE compromessi (Caisse d’Epargne, Banque Populaire, ecc.)

    Share.
    View 7 Comments

    7 commenti

    1. mardabey on

      Ne vous connectez pas sur leurs sites, quelqu’un a potentiellement réussi à détourner du trafic en provenance des pages de connexions, ils pourraient être en mesure de récupérer les cookies de sessions, et donc de se connecter sur vos comptes…

    2. realusername42 on

      Ah bah super, et vu que l’application mobile se connecte via le web (enfin j’imagine vu que c’est moche), il faut eviter de de connecter pour le moment….

    3. k33perStay3r64 on

      super, je me suis connecté hier sur le web pour valider un contrat . et le mot de passe pourtant bon n’est pas passé au premier essai. ça pue la merde ça…

    4. IntelArtiGen on

      Ca a l’air assez sérieux. Ta source est chelou (formattage chatgpt-esque, IA de partout etc.), mais apparemment celui qui a signalé à la base semble sérieux. L’ampleur est potentiellment assez limité de ce que je comprends. Même si c’est grave de réussir à injecter du code sur une banque, je sais pas si les cookies de sessions suffisent à exploiter grand chose, il y a des vérifications d’autres genres. Le vol login/mdp sert pas tant si t’as pas le SMS et idem sur la fraude bancaire ça parait très limité, pour n’importe quelle opération (virement etc.) t’as plein de verifs (sms, délai avant virement vers nouveau compte etc.).

      L’absence d’info dans les médias tradis est assez surprenante mais probablement lié à l’ampleur inconnue de la faille jusqu’ici, et à la complexité technique aussi surement (bonne chance pour vulgariser ça sans trop écrire n’importe quoi).

      edit: Le fait que la page soit encore up est un scandale non ?

    5. TrueRignak on

      J’ai un niveau 0 en réseaux, vous me direz si j’ai bien compris.

      1. Le groupe BPCE avait des serveurs héberés chez AWS.

      2. Lorsque les serveurs ont été éteint, le DNS (qui fait la transcription url -> IP) n’a pas été informé.

      3. Des pirates ont lancé des serveurs AWS jusqu’à tombé sur un qui avait la même IP que celle indiquée par le DNS.

      4. N’importe qui essayant de se connecter via l’url correspondante se aisait donc aspirer ses données.

      C’est, genre, super grave, non ? Il y a pas de mécanisme pour envoyer une notification au DNS quand un serveur est retiré ?

    6. EvolvedEukaryote on

      > BPCE utilisait un CNAME (ex : statxxxx.caisse-epargne.fr) pour suivre l’audience via une infra AWS.
      > ➡️ Ces machines ont été décommissionnées, mais le DNS est resté.

      Mais qui supprime les machines avant de supprimer le code, alors que l’inverse est le plus logique?

      Édit: je pense plutôt qu’ils ont oublié de renouveler le contrat pour ces machines.

    7. ali0une on

      Si le hacker pouvait revenir pour injecter du code qui ferait tomber en marche leur formulaire de déclaration de sinistre … that_would_be_great.jpg

    Leave A Reply