Le blog roumain HackersBlog publie ce jour un billet ironiquement intitulé " Orange is so cool " et remerciant le portail Orange dans sa déclinaison française pour sa générosité en exposant à la vue de quelques cybercriminels le contenu de près de 245 000 comptes avec adresse e-mail du titulaire, nom et prénom, ainsi que le mot de passe, étant précisé en plain text autrement dit en texte clair ( ou simple ).
Cette révélation de données sensibles a eu lieu sur la page du jeu concours " La photo mystère " d'Orange via une attaque par injection SQL. En guise de preuve de concept, deux captures d'écran où l'on apprendra également le recours à un serveur Debian 4.0 ( puisque Etch ) avec MySQL 5.0.23 :
Le jeu concours a pris fin il y a une dizaine de jours. Le découvreur de la vulnérabilité a pour sa part averti Orange de sa trouvaille, et actuellement la section du portail incriminée est inaccessible. Faut-il en déduire que les utilisateurs ayant participé à ce jeu doivent modifier leur mot de passe ? C'est en tout cas le conseil déjà prodigué par des spécialistes de la sécurité informatique comme Trend Micro, d'autant que les mots de passe ont tendance à être les mêmes pour diverses utilisations ( pas seulement un jeu ).