convertic, référencement SEO  webmarketing avignon
  • Accueil
  • A propos
  • Devis
  • Contact
  • Le Blog

 

  • Catégories
    • Autres
    • Conversion
    • Développement
    • SEA
    • Sécurité
    • SEO
    • Web marketing
Nos services
  • Référencement Google
  • Référencement Adwords
  • Web Marketing
  • formation référencement
  • Devis référencement Google
Suivre sur

Suivez-moi !twitter

Suivez-moi !facebook

Suivez-moi !flux rss

 

Votre base clients et ses performances en accès libre

23 novembre 2011 | Catégorie : Sécurité

protéger ses données

Imaginez que vous trouviez une base de données indiquant  toutes les données correspondant  aux paiements des clients d’un de vos concurrents tel que:

  • -montant de la commande
  •  -jour de la commande
  •  -cerise sur le gâteau  e-mail de ces clients

 

Ou plutôt imaginez que se soit la vôtre et qu’elle  soit  donné en pâture (au choix) :

  • - à vos concurrents
  • - au  brave internaute qui lui aussi veut sa boutique e-commerce tout comme la votre (par ce qu’elle le vaut bien) ,
  • - à un opportuniste  qui ne s’intéresse qu’aux lancements rapide de projets lucratifs
  • - …
  • - Tous en même temps

 

Il n’est pas nécessaire de s’attarder sur les ratios que l’on pourrait sortir  de ces 3 données essentielles comme votre CA / mois, le nombre de commande / mois , le panier moyen …

Là vous commencez à transpirer en imaginant bien les problèmes que cela pourrait engendrer.

Le e-commerce est une activité ultra concurrentielle qui  parfois nous vous usent un peu les nerfs… bref vous n’avez aucune envie de voir de nouveaux arrivants sur votre  secteur, qui viendront vous bousculer.

Encore moins  des personnes peu scrupuleuses qui n’hésiteront  pas à  détourner  l’ensemble de votre clientèle (grâce aux e-mails de vos clients)  avec des prix plus agressifs que les vôtres.

Mais là vous vous dites  que seul un hacker serait capable  de vous voler ces données si précieuses et que ce n’est pas à la portée de tout le monde.

FAUX ! du moins pas pour tout le monde, dans certains cas  ces données sont accessible librement et en toute légalité … sur Google.

Comme la plupart des e-commerçant qui ont choisi la plateforme de leur banque pour encaisser les paiemente, une solution ATOS leur a été fourni (Sogenactif pour la Société Générale, Mercanet pour la BNP Paribas, Webaffaires pour le Crédit du Nord …)

Ce module de paiement lorsqu’il renvoi la réponse du paiement sur votre serveur  est configuré pour inscrire ce résultat dans votre base de données … mais parfois également dans un fichier texte  qui se présente sous cette forme :

merchant_id : numéro marchand
merchant_country : votre pays
amount : montant de la commande en cents
transaction_id :
transmission_date: date de la commande
payment_means: CB
payment_time :
payment_date :
response_code : réponse du paiement
payment_certificate :
authorisation_id :
currency_code :
card_number :
cvv_flag:
cvv_response_code: réponse du paiement
bank_response_code: réponse du paiement
complementary_code:
complementary_info:
return_context:
caddie : commande
merchant_language:
language:
customer_id:
order_id:
customer_email: adressse@email.fr
customer_ip_address:
capture_day:
capture_mode:

Dans ce résultat on trouve de nombreuses empreintes spécifique à  la réponse qu’une banque peut donner  au serveur d’ un e-commercant.

C’est à cause de ces empreintes et d’une faille dans votre site web (puisque l’URL à été référencé par Google) qu’il est possible de trouver votre fichier.

Par exemple en tapant une requête aussi simple que typefile:txt « merchant_id » Google renvoi des fichiers d’e-commercant  contenant toutes les informations des paiements de leurs clients … parfois sur plusieurs années!

Concernant la requête cité en exemple j’ai pris soin de prévenir par e-mail l’ensemble des sites web concernés  pour qu’il puisse rectifier la faille cependant il existe de nombreuses empreintes qui pourraient permettre d’accéder à vos données confidentielles si elles ne sont pas protégées.

Il est important pour vous d’identifier les données confidentielles que vous possédez et  de vérifier qu’elles soient suffisamment protégées.

Il existe un moyen simple pour s’assurer de ne jamais connaître ce genre d’imprévu : le fichier robots.txt pour empêcher l’indexation des dossiers.

Ou l’idéal, ne stocker vos informations confidentielles que dans vos  bases de données.

Dans le cas ou vous seriez dans l’obligation de garder ces données sur votre serveur, changer régulièrement le nom des fichiers créés par les réponses de votre banque (pour les parser et les rendre moins accessibles  log_octobre2011.txt par exemple), n’oubliez pas dans ce cas d’empêcher le listage de fichier de vos dossiers si ce n’est pas déjà fait.

et si cet article vous a plus partagez le sur :

 

 

Suivez Moi sur Twitter

 

Laisser un commentaire

Cliquez ici pour annuler la réponse.

convertic, référencement SEO  webmarketing avignon
Plan du site
Mentions Legales
Convertic © 2011

Suivez-nous sur
  • referencement facebookFacebook
  • referencement twitterTwitter
  • referencement wordpressLe blog
Autres liens
  • B. Lointier G+
  • Liens utiles
Pour nous Joindre téléphone convertic
email convertic