Aller au contenu

Domotique Store


pepite

Messages recommandés

Bonjour à  tous,

 

Je vous confirme malheureusement que la page d'authentification permettant de se connecter au compte client sur notre site a été piratée.

Les codes d'accès (mail + mot de passe) étaient transmis au pirate lorsque le formulaire de connexion était validé avec le bouton "Connexion".

La période pendant laquelle le problème a été présent va du 1er septembre 4h du matin au 14 septembre 15h.

 

 

Le pirate ne pouvait en revanche pas récupérer les codes dans les cas suivants :

  • Création d'un nouveau compte (pas de formulaire de connexion à  remplir).
  • Connexion restée authentifiée (connexion directe au compte client sans cliquer sur le bouton "Connexion" de la page d'authentification).
  • Connexion à  l'aide des boutons "se connecter avec Paypal, Facebook, Twitter, Google".
  • Surf sur sur la boutique sans se connecter au compte client.

 

Les mots de passe sont cryptés dans la base de données, donc pas de risque pour les clients ne s'étant pas connecté en dehors de cette période.

Le pirate n'a pas eu accès au serveur lui même mais uniquement à  des fichiers du site.

 

Nous ne possédons aucun numéro de carte bancaire car les paiements sont traités par les serveurs ultra-sécurisés de la BNP (Merc@net) et nous ne recevons de ces serveurs qu'une confirmation de paiement envoyée cryptée en HTTPS.

 

 

Dès la découverte de la faille, nous l'avons immédiatement corrigée et avons augmenté le niveau de sécurité de notre pare-feu et de notre HIDS.

Tous les fichiers du site ont été contrôlés.

Nous surveillons très attentivement et très régulièrement les logs de notre serveur.

Un audit de sécurité très approfondi va avoir lieu très prochainement.

 

 

Si vous vous êtes connecté à  votre compte client (avec validation du formulaire de connexion) entre le 1er septembre 4h et le 14 septembre 15h, vous êtes donc potentiellement concerné.

  • Nous vous recommandons de changer vos codes sur notre site (via votre compte clients, rubrique "Mes informations personnelles")
  • Si vous avez utilisé les mêmes codes sur d'autres sites, il est important de les changer aussi sur ces sites, en utilisant de préférences des mots de passe différents pour chaque site.
 
 
 
Nous sommes vraiment désolé pour cet incident et faisons tout ce qui est en notre pouvoir pour qu'il ne puisse plus se reproduire.
 
Je suis bien évidement à  votre disposition si vous aviez d'autres questions à  ce sujet.
Pour les question plus personnelles, je vous recommande d'utiliser notre formulaire de contact (choisissez "Webmaster").
 
 
Bien cordialement,
Jérôme, Gérant
  • Upvote 1
Lien vers le commentaire
Partager sur d’autres sites

Idem jamais déçu, pro réactif, et en plus ils répondent au tel ...!!

 

Et ça, ça n'a pas de prix!!

 

Dans le même esprit, j'ai reçu un mail de "Orange ???" : "Vous avez appelé le Service Client Orange", avec un lien vers un questionnaire.

Or, je n'ai pas appelé Orange.

Donc poubelle.

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...