PayMaxx est un service en ligne qui propose aux entreprises d'externaliser leurs ressources humaines.
Par exemple, il est possible aux employés des entreprises qui ont choisi ce service, de consulter leur bulletin de salaire, de gérer leur cotisation sociale ou encore leur déclaration de revenus, bref un tas d'informations particulièrement sensibles.
Pas de chance, ce service souffre d'un important problème de sécurité, qui semble le fait de leur incompétence totale dans ce domaine.
La faille découverte permet tout simplement d'accéder aux informations confidentielles de près de 25.000 personnes, avec des informations comme leur numéro de sécurité sociale (d'une importance vitale aux USA), ou leur fiche de paye).
Selon PayMaxx : "Il n’y a pas de système qui soit 100% sûr contre un pirate déterminé. PayMaxx a par le passé, et continue jour après jour de s’efforcer à sécuriser ses systèmes contre tout type de faille".
Contre toute attente, alors qu'elle y est obligée par la loi, PayMaxx n'a toujours pas prévenu ses clients de l'existence de cette faille.
En fait, c'est un client de PayMaxx, Aaron Greenspan, pdg d'une société de services en sécurité informatique, qui a découvert cette faille qui lui a semblé, sur le coup, tellement simple à mettre en place qu'il en a été étonné. En effet, après s'être identifié, il obtient un lien vers son document, qui est nommé par un simple numéro. Aaron, comme tout bon geek de son espèce, un peu fouineur sur les bords, a essayé ce même lien en incrémentant ce numéro et BINGO, il a accédé aux informations confidentielles d'un autre abonné. Bon, pas très compliquée à exploiter cette "faille" ;)
C'est ainsi les formulaires des 25.000 clients qui sont accessibles sans aucune protection, y compris pour les années antérieures...
Aaron a alors prévenu la société, mais 15 jours plus tard, sans réponse, il a décidé de publier un article exposant à tous cette faille de sécurité.
Remarque : cette faille est très dangereuse, car, en effet, aux USA, avec le numéro de sécurité sociale d'un individus, vous pouvez pratiquement procéder à toutes les opérations possibles le concernant (opération bancaire, abonnement téléphonique,..)
Source : Boston.com et Vulnérabilité.com
Par exemple, il est possible aux employés des entreprises qui ont choisi ce service, de consulter leur bulletin de salaire, de gérer leur cotisation sociale ou encore leur déclaration de revenus, bref un tas d'informations particulièrement sensibles.
Pas de chance, ce service souffre d'un important problème de sécurité, qui semble le fait de leur incompétence totale dans ce domaine.
La faille découverte permet tout simplement d'accéder aux informations confidentielles de près de 25.000 personnes, avec des informations comme leur numéro de sécurité sociale (d'une importance vitale aux USA), ou leur fiche de paye).
Selon PayMaxx : "Il n’y a pas de système qui soit 100% sûr contre un pirate déterminé. PayMaxx a par le passé, et continue jour après jour de s’efforcer à sécuriser ses systèmes contre tout type de faille".
Contre toute attente, alors qu'elle y est obligée par la loi, PayMaxx n'a toujours pas prévenu ses clients de l'existence de cette faille.
En fait, c'est un client de PayMaxx, Aaron Greenspan, pdg d'une société de services en sécurité informatique, qui a découvert cette faille qui lui a semblé, sur le coup, tellement simple à mettre en place qu'il en a été étonné. En effet, après s'être identifié, il obtient un lien vers son document, qui est nommé par un simple numéro. Aaron, comme tout bon geek de son espèce, un peu fouineur sur les bords, a essayé ce même lien en incrémentant ce numéro et BINGO, il a accédé aux informations confidentielles d'un autre abonné. Bon, pas très compliquée à exploiter cette "faille" ;)
C'est ainsi les formulaires des 25.000 clients qui sont accessibles sans aucune protection, y compris pour les années antérieures...
Aaron a alors prévenu la société, mais 15 jours plus tard, sans réponse, il a décidé de publier un article exposant à tous cette faille de sécurité.
Remarque : cette faille est très dangereuse, car, en effet, aux USA, avec le numéro de sécurité sociale d'un individus, vous pouvez pratiquement procéder à toutes les opérations possibles le concernant (opération bancaire, abonnement téléphonique,..)
Source : Boston.com et Vulnérabilité.com
