Fuite de donnée de l'UMP : les pirates ont trouvé la faille via Google
C'est une injection SQL sur une application Web qui a permis aux pirates de diffuser les données personnelles des membres de l'UMP. Les pirates révèlent qu'ils disposaient d'informations bien plus sensibles.
Comme pressenti, c'est donc bien l'injection SQL qui a été utilisée par les pirates qui ont diffusé les informations personnelles de près d'un millier de membres de l'UMP. C'est en effet ce que vient confirmer un communiqué revendiquant cette fuite d'informations. Les pirates y détaillent comment ils ont pu mettre la main sur des telles informations.
La faille SQL a été découverte "par hasard" par une simple recherche Google (c'est-à-dire via "un Google Dork " selon l'expression consacrée). "Les données sont issues d'une société d'hébergement et création de sites Internet privée (mes-conseils.fr)", précisent les pirates. Les failles étaient présentes sur "une trentaine de sites personnels de personnalités de l'UMP", et leur exploitation a permis aux pirates d'accéder à "160 bases de données" dont la plupart étaient directement liées avec l'UMP. "
Un webmaster jugé "irresponsable" par les hackers
Ces bases de données contenaient non seulement des centaines d'adresses e-mails de députés, mais aussi leurs identifiants pour se connecter à des extranets et intranets ainsi qu'au portail privé de l'Assemblée nationale. Les pirates auraient donc utiliser ces informations pour se faire passer, par e-mail, pour les députés, mais aussi pour pirater le site de l'Assemblée nationale "de l'intérieur", ou encore publier toutes les données aperçues sur le serveur ("contenu des mails, identifiants et mot de passe compris"). Ils indiquent également qu'ils auraient pu vendre ces informations "à des pays étrangers".
Les auteurs, qui n'auraient donc pas diffusé ou exploité les données les plus sensibles à leur portée, se défendent d'être irresponsables, et préfèrent plutôt accuser le "webmaster qui laisse quasi-ouvert son serveur MySql", et "qui utilise le même mot de passe partout".
A noter enfin que la page d'accueil de l'extranet du groupe UMP à l'Assemblée nationale, sur laquelle les députés UMP s' identifient, est inaccessible depuis hier soir.