250 000 numéros de carte bleue envolés

Le par  |  29 commentaire(s)
Voleur

La société Ernst & Young assure la sécurité des transactions sur Internet du site américain Hotels.

La société Ernst & Young assure la sécurité des transactions sur Internet du site américain Hotels.com. Mais une fois la transaction sécurisée effectuée, il faudrait aussi sans doute faire attention, à l'avenir, à ce qu'il se passe par la suite.


Un PC volé, 250 000 numéros de carte bleue avec...Voleur
Un ordinateur portable de la société Ernst & Young a en effet été volé dans une voiture. Celui-ci contenait les coordonnées et le numéro de carte bancaire de 250 000 clients du site internet Hotels.com. Une affaire très embarrassante lorsque l'on sait que la protection des données est justement le rôle d'Ernst & Young...

Pas de problème, les données étaient cryptées me direz-vous ! Eh bien absolument pas... Un simple mot de passe permet d'accéder à ces informations, qui seront donc accessibles en clair à la personne qui a volé l'ordinateur en question après quelques heures passées à trouver le mot de passe. Cette dernière pourra ensuite tranquillement effectuer quelques achats en ligne avant que les propritétaires ne fassent opposition sur leur carte. Le site Hotels.com a réagi en envoyant à ses clients la lettre suivante :

"[...] L'ordinateur [volé] contenait certaines informations à propos des transactions entre nos clients et le site Hotels.com. Ces informations peuvent comprendre votre nom, votre adresse, et quelques informations que vous nous avez communiquées à propos de votre carte de crédit au moment de la réservation. [...]".


Et ce n'est pas la première fois !
Ce n'est en effet pas la première fois que la société Ernst & Young commet une telle erreur.  En février dernier déjà, un PC portable contenant des informations sur les employés de quelques grands constructeurs informatiques (Sun, IBM, Cisco...) avait été oublié au fond d'une salle de réunion, ordinateur jamais retrouvé depuis...


Il serait peut être temps que les entreprises prennent conscience de la vulnérabilité des données qu'elles sont censées protéger, et mettent en avant des moyens pour les protéger (le simple cryptage des données permettrait déjà de limiter ce problème).
Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #112214
C'est amusant, des fois je me trouve parano de ne jamais faire d'achats sur Internet, et des fois ça va en fait
Le #112217
Une personne d'UFC que choisir a dit sur Itélé que ce n'était pas possible en France puisque le numéro de carte bancaire n'avait pas le droit d'être stocké après la fin de la transaction (donc quand la banque dit "ok" le numéro doit être effacé).

Jusque là je l'ai crû, mais alors pourquoi la SNCF te demande d'insérer ta carte bleue pour vérif quand tu viens chercher des billets achetés sur le net si le numéro n'a pas été conservé '...
Le #112219
Pour la SNCF je ne sais pas sil ils stockent le numero ou pas mais il ne sont pas obligé de stocké ton numéro de carte.

Il suffit de stocker le hash de la carte
numero ->fonction de hash ->Clé de hash
clé de hash ->tres tres tres dur de retrouver le numero

Mais c'est vrai qu'il faut faire attention sur les site qui vous proposent un achat en ligne sans passer par une "banque"(->page tres moche de la banque = le site n'a jamais votre numero de carte)
Le #112220
"Jusque là je l'ai crû, mais alors pourquoi la SNCF te demande d'insérer ta carte bleue pour vérif quand tu viens chercher des billets achetés sur le net si le numéro n'a pas été conservé '..."

ils peuvent très bien calculer un md5 de ton numéro de cb et le conserver, et refaire cette opération lorsque tu viens retirer tes billets, le tout sans conserver le numéro de cb en mémoire...

edit:
hum grillé

"clé de hash ->tres tres tres dur de retrouver le numero"
normalement avec un hash de type SHA-1 c'est même impossible


mais au fait, pourquoi ce commercial avait besoin d'avoir les numéros de CB sur son ordinateur portable' ils s'en servent de sauvegarde au cas où leur serveur tombe en panne'
Le #112221
Ah bah oui le hash bien sûr jsuis bête moi...

J'ai jamais dit qu'il était commercial le monsieur !
Le #112228
J'ai été victime (indirectement) du vol d'un portable dans un grand hopital (avec caméras, vigiles, contrôle des entrées...).

Il contenait les dossiers de certains patients "délicats" du services.
Dont le mien qui rassemblait des dizaines d'examens, longs, très chers, douloureux et difficiles à obtenir en Rdv .

Vous auriez vu la gueule du professeur quand il s'est décidé de venir me l'annoncer ! Le portable était pour cadenassé sur une grosse table roulante avec une forte serrure. Cela s'est passé un dimanche midi.

Un an après, l'on est encore en train d'essayer de tout me refaire ! Rien que pour mon cas, la perte est de l'ordre de 40 000 ?. pris en charge par la sécu "longue maladie". Il y avait un vingtaine de patients stockés dedans avec des pathologies diverses.

J'épprouve une joie sans nom en y pensant entre 2 rendez-vous ! Et beaucoup d'affection pour le connard qui à "emprunter" ce PC pour en tirer l'équivalent d'une "dose" !

J'aurai préféré me faire voler le numéro de ma carte de crédit. Merci !
Le #112238
Petit rappel, aux US, les cartes fonctionnent encore pratiquement toute encore avec la piste magnétique et non pas de puce plus "sécurisée".

Et en France, faisant mes achats très souvent dans les mêmes mag, j'peux vous confirmez des n° de cartes sont bien garder par certains magasins en ligne.

Aussi, l'utilisation frauduleuse avec le n° de carte est couverte par votre assurance-vol de CB.
Anonyme
Le #112239
Normalement en France un telle chose n'est pas possible. Avec le systeme Français (https) le numéro n'est pas enregistré par le site vendeur.

L'acheteur est relié automatiquement aux serveurs d'une banque qui elle même ne conserve pas le numéro de la carte. Elle ne fait que valider la transaction pour le compte du vendeur.


Le #112241
Nemo :
tu as tout autant de chance de te faire générer aléatoireement ton code et meme plus que de te le faire piquer...
Alors le plus important est avant tout de bien choisir ses sites marchands.
Le #112244
link83 >+1
"mais au fait, pourquoi ce commercial avait besoin d'avoir les numéros de CB sur son ordinateur portable'". Faut-y être con ! Ils l'ont viré j'espère '
Moralité : si vous stockez sur un support relativement léger (de la disquette au pc portable), pas de données confidentielles ... ou alors cryptez les !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]