j’ai pu, via une faille que j’ai découverte, récupérer une grosse quantité d’adresses emails de clients du site d’une grosse marque FR (cuisine, made in France, nature).
Je me retrouve avec une liste d’environ 50k emails plutot qualifiés mais sans optin qui évolue chaque jour, mais je ne sais pas quoi en faire.
1ère solution : utiliser cette liste pour, d’une façon ou d’une autre, la monétiser ?
2ème solution : prévenir la marque et espérer une rétribution ?
3ème solution : prévenir la marque sans rien demander en retour.
La question c’est est-ce que toi tu veux faire de l’argent avec ?
Si oui, y’a plusieurs solutions. Si c’est une grande marque tu peux leur vendre une presta pour trouver la fuite (la cnil semble active en ce moment, un trou comme ça c’est une sanction +++++)
Sinon tu peux leur signaler qu’ils ont un problème et tu seras un bon citoyen
Tu peux signaler le problème est exploiter les données derrière aussi.
Une idée comme ca, leur dire qu’ils ont une faille (sans leur dire quoi), que tes données y sont dedans, et que par peur que tes données soient volés/exploités par des pirates informatiques, et que s’ils bloquent pas la faille sous 48h, tu préviens la CNIL. Et à la fin, tu peux dire que tu es expert en informatique, que tu peux réparer la faille pour xx.xxx € (au moins une presta à 5 chiffres)
J’imagine que légalement, tu n’as pas d’obligation de dire c’est quoi la faille.
Merci, c’est malin en effet ! J’ai simplement peur qu’ils me demandent comment je sais que mes données y sont. Si je leur fais comprendre que j’ai scrapé moi même je suppose qu’ils peuvent me poursuivre
Tu n’as rien piraté ? Que des call api c’est ça ?
Je ne suis pas avocat mais c’est eux qui te renvoie les données.
Par contre si tu te connectes sur un serveur la c’est différent
Uniquement des calls API, les données sont récupérables en front !
Je n’ai pas de connaissances spéciales en sécurité informatique donc je ne serai pas légitime pour corriger le soucis à leurs yeux je suppose (même si je sais comment faire)…
Oui le but n’est pas de faire du chantage mais de leur faire comprendre d’entrée que je ne souhaite pas bosser gratuitement à leur place en leur donnant la faille !
J’ai regardé hier soir et ce matin, la faille n’exploite aucune vulnérabilité déjà connue, je dois donc être le seul à la posséder en effet
La première solution est très clairement illégale.
Par contre plutôt que de contacter la boîte, tu peux peut-être essayer de monétiser la faille auprès d’un expert en sécurité informatique dont le boulot est justement de les corriger ? Lui saura comment contacter l’entreprise.
Tu pourrais même sous-traiter…être un intermédiaire. Tu crée une vitrine et tu trouves une entreprise de sécurité avec affiliation. Ou bien tu t enregistre en auto entrepreneur multi carte, ou bien Je m occupe de ton histoire, je demande un max et on fait 30% - 70% lol.
Au vu du nombre d entreprises qui ne respectent pas le rgpd en France tu me donnes des idées…
Ils ont pas un programme de bug bounty ?
Sinon des fois dans le code source du site en commentaire il peut y avoir une adresse email pour ce type de choses…si ils sont open à discuter disons…
Malheureusement, rien du tout ! Et je ne veux pas les contacter avant d’être sur de ne pas être inquiété En attendant, les mails s’accumulent et la faille est toujours la.
En attendant, les mails s’accumulent et la faille est toujours la.