- Catégories
- Référencement Google
- Référencement Adwords
- Web Marketing
- formation référencement
- Devis référencement Google
Votre base clients et ses performances en accès libre
Imaginez que vous trouviez une base de données indiquant toutes les données correspondant aux paiements des clients d’un de vos concurrents tel que:
- -montant de la commande
- Â -jour de la commande
- Â
-cerise sur le gâteau e-mail de ces clients
Ou plutôt imaginez que se soit la vôtre et qu’elle soit donné en pâture (au choix) :
- - Ã vos concurrents
- - au brave internaute qui lui aussi veut sa boutique e-commerce tout comme la votre (par ce qu’elle le vaut bien) ,
- - à un opportuniste qui ne s’intéresse qu’aux lancements rapide de projets lucratifs
- - …
- - Tous en même temps
Il n’est pas nécessaire de s’attarder sur les ratios que l’on pourrait sortir de ces 3 données essentielles comme votre CA / mois, le nombre de commande / mois , le panier moyen …
Là vous commencez à transpirer en imaginant bien les problèmes que cela pourrait engendrer.
Le e-commerce est une activité ultra concurrentielle qui parfois nous vous usent un peu les nerfs… bref vous n’avez aucune envie de voir de nouveaux arrivants sur votre secteur, qui viendront vous bousculer.
Encore moins des personnes peu scrupuleuses qui n’hésiteront pas à  détourner l’ensemble de votre clientèle (grâce aux e-mails de vos clients) avec des prix plus agressifs que les vôtres.
Mais là vous vous dites que seul un hacker serait capable de vous voler ces données si précieuses et que ce n’est pas à la portée de tout le monde.
FAUX ! du moins pas pour tout le monde, dans certains cas ces données sont accessible librement et en toute légalité … sur Google.
Comme la plupart des e-commerçant qui ont choisi la plateforme de leur banque pour encaisser les paiemente, une solution ATOS leur a été fourni (Sogenactif pour la Société Générale, Mercanet pour la BNP Paribas, Webaffaires pour le Crédit du Nord …)
Ce module de paiement lorsqu’il renvoi la réponse du paiement sur votre serveur est configuré pour inscrire ce résultat dans votre base de données … mais parfois également dans un fichier texte qui se présente sous cette forme :
merchant_id : numéro marchand merchant_country : votre pays amount : montant de la commande en cents transaction_id : transmission_date: date de la commande payment_means: CB payment_time : payment_date : response_code : réponse du paiement payment_certificate : authorisation_id : currency_code : card_number : cvv_flag: cvv_response_code: réponse du paiement bank_response_code: réponse du paiement complementary_code: complementary_info: return_context: caddie : commande merchant_language: language: customer_id: order_id: customer_email: adressse@email.fr customer_ip_address: capture_day: capture_mode:
Dans ce résultat on trouve de nombreuses empreintes spécifique à  la réponse qu’une banque peut donner au serveur d’ un e-commercant.
C’est à cause de ces empreintes et d’une faille dans votre site web (puisque l’URL à été référencé par Google) qu’il est possible de trouver votre fichier.
Par exemple en tapant une requête aussi simple que typefile:txt « merchant_id » Google renvoi des fichiers d’e-commercant contenant toutes les informations des paiements de leurs clients … parfois sur plusieurs années!
Concernant la requête cité en exemple j’ai pris soin de prévenir par e-mail l’ensemble des sites web concernés pour qu’il puisse rectifier la faille cependant il existe de nombreuses empreintes qui pourraient permettre d’accéder à vos données confidentielles si elles ne sont pas protégées.
Il est important pour vous d’identifier les données confidentielles que vous possédez et de vérifier qu’elles soient suffisamment protégées.
Il existe un moyen simple pour s’assurer de ne jamais connaître ce genre d’imprévu : le fichier robots.txt pour empêcher l’indexation des dossiers.
Ou l’idéal, ne stocker vos informations confidentielles que dans vos bases de données.
Dans le cas ou vous seriez dans l’obligation de garder ces données sur votre serveur, changer régulièrement le nom des fichiers créés par les réponses de votre banque (pour les parser et les rendre moins accessibles log_octobre2011.txt par exemple), n’oubliez pas dans ce cas d’empêcher le listage de fichier de vos dossiers si ce n’est pas déjà fait.
et si cet article vous a plus partagez le sur :
Suivez Moi sur Twitter