Emails de particuliers scrapés mais sans optin, utilisables ?

Bonjour,

j’ai pu, via une faille que j’ai découverte, récupérer une grosse quantité d’adresses emails de clients du site d’une grosse marque FR (cuisine, made in France, nature).

Je me retrouve avec une liste d’environ 50k emails plutot qualifiés mais sans optin qui évolue chaque jour, mais je ne sais pas quoi en faire.

1ère solution : utiliser cette liste pour, d’une façon ou d’une autre, la monétiser ?
2ème solution : prévenir la marque et espérer une rétribution ?
3ème solution : prévenir la marque sans rien demander en retour.

J’attends vos avis !

La question c’est est-ce que toi tu veux faire de l’argent avec ?
Si oui, y’a plusieurs solutions. Si c’est une grande marque tu peux leur vendre une presta pour trouver la fuite (la cnil semble active en ce moment, un trou comme ça c’est une sanction +++++)

Sinon tu peux leur signaler qu’ils ont un problème et tu seras un bon citoyen :joy:

Tu peux signaler le problème est exploiter les données derrière aussi.

1 J'aime

Je veux effectivement monétiser cette liste/cette faille d’une manière ou d’une autre, je ne compte pas faire leur boulot à leur place :grin:

Une idée comme ca, leur dire qu’ils ont une faille (sans leur dire quoi), que tes données y sont dedans, et que par peur que tes données soient volés/exploités par des pirates informatiques, et que s’ils bloquent pas la faille sous 48h, tu préviens la CNIL. Et à la fin, tu peux dire que tu es expert en informatique, que tu peux réparer la faille pour xx.xxx € (au moins une presta à 5 chiffres)

J’imagine que légalement, tu n’as pas d’obligation de dire c’est quoi la faille.

1 J'aime

Merci, c’est malin en effet ! J’ai simplement peur qu’ils me demandent comment je sais que mes données y sont. Si je leur fais comprendre que j’ai scrapé moi même je suppose qu’ils peuvent me poursuivre

Tu n’as rien piraté ? Que des call api c’est ça ?
Je ne suis pas avocat mais c’est eux qui te renvoie les données.
Par contre si tu te connectes sur un serveur la c’est différent :sweat_smile:

Si je reçois un mail comme ça perso, jamais je ne prends le gars en prestataire ! Ça fait très chantage …

Avertir le site en question en proposant tes services pour leur expliquer le problème et le corriger si besoin est peut-être mieux non ?

Dans tous les cas, la base aura plus de valeur si tu es l’un des seuls à la posséder … :innocent:

3 J'aime

Uniquement des calls API, les données sont récupérables en front !
Je n’ai pas de connaissances spéciales en sécurité informatique donc je ne serai pas légitime pour corriger le soucis à leurs yeux je suppose (même si je sais comment faire)…

Oui le but n’est pas de faire du chantage mais de leur faire comprendre d’entrée que je ne souhaite pas bosser gratuitement à leur place en leur donnant la faille !

J’ai regardé hier soir et ce matin, la faille n’exploite aucune vulnérabilité déjà connue, je dois donc être le seul à la posséder en effet

La première solution est très clairement illégale.

Par contre plutôt que de contacter la boîte, tu peux peut-être essayer de monétiser la faille auprès d’un expert en sécurité informatique dont le boulot est justement de les corriger ? Lui saura comment contacter l’entreprise.

1 J'aime

Tu pourrais même sous-traiter…être un intermédiaire. Tu crée une vitrine et tu trouves une entreprise de sécurité avec affiliation. Ou bien tu t enregistre en auto entrepreneur multi carte, ou bien Je m occupe de ton histoire, je demande un max et on fait 30% - 70% lol.
Au vu du nombre d entreprises qui ne respectent pas le rgpd en France tu me donnes des idées…

+10% de requêtes google « cuisine made in France » après ce post !

2 J'aime