Tweets avec des réponses de cyrilbruder (@cyrilbruder) | Twitter [ Pratiques douteuses, sans éthique voire illégales au CERT du Crédit Agricole ? ]
vendredi 16 octobre 2015 à 11:01GuiGui's Show - Liens
Tiens, y'a-t-il des mauvaises pratiques sans éthique voire illégales au CERT du Crédit Agricole ?
« Le CERT @CreditAgricole facture des activités de CSIRT au groupe @CreditAgricole mais ne gère pas de sécurité IT, seulement de la fraude.
Le CERT @CreditAgricole pirate illégalement tout ce qui lui semble être une menace. Le CERT @CreditAgricole cache illégalement la compromission de plusieurs sites bancaires. Le CERT @CreditAgricole a envoyé en fermeture (takedown) pour phishing un site officiel d'@Orange via @lexsi en usurpant une identité.
Le CERT @CreditAgricole manipule des données carte bancaire mais n'est pas certifié PCI-DSS.
Site banquaire Préviséo Obsèque groupe @CreditAgricole piraté 2 ans (données de religion) caché délibérément par son CERT TERRORISME @CNIL La RSSI de Préviséo Obsèque a sauté suite au hacking durant 2 ans du site bancaire du @CreditAgricole.
Le CERT @CreditAgricole dissimule des fraudes internes en ne conservant les logs des proxy sortant que 6 mois. Le CERT @CreditAgricole conserve des logs 18 mois. Le CERT @CreditAgricole conserve des copies de logs durant plusieurs années. (script shell manuel sans purge automatique). Il faut respecter les durées de rétention des logs de la loi française même si elle est différente de celle de la @CNIL.
Le CERT @CreditAgricole stocke illégalement en clair les mots de passe des comptes bancaires clients. Il ne faut plus stocker les mots de passe des clients dans les logs et les retirer des anciens logs.
Le CERT @CreditAgricole fausse les réponses aux réquisitions judiciaires. Les réponses aux réquisitions judiciaires sont souvent partielles. Il faut mettre un identifiant de jointure dans les logs pour tracer chaque session pour les réquisitions judiciaires.
Le CERT @CreditAgricole enregistre, bloque et diffuse à des tiers illégalement des données personnelles BIC/IBANs. J'avoue avoir illégalement, sur ordre du CERT, transmis plus de 700 IBAN à 34 personnes (confrères) sur liste underground SIC(sic@lexsi.com) Si un pirate enregistre votre BIC/IBAN sur un compte @CreditAgricole, vous êtes blacklisté à vie, vous ne recevrez plus jamais de virements! Si quelqu'un affirme avoir été arnaqué avec votre BIC/IBAN, vous êtes blacklisté illégalement sans le savoir à vie au @CreditAgricole ! exemple de BIC/IBAN blacklisté illégalement sans en avoir informé les détenteurs des comptes (macro SPLUNK) : vous ne pourrez pas ajouter ces IBANs à vos comptes bancaires @CreditAgricole vous pouvez essayer ça marche pas !!
[NDLR : blacklist semble confirmée : https://twitter.com/_michigale_/status/654820098734100480, entre autres ]
ça fait des semaines que j'harcèle l'@ANSSI_FR mais jamais de réponse ... merci de retweeté un des tweets
Attention pas d'amalgame CERT @CreditAgricole = 3 personnes (Groupe @CreditAgricole = 150 000 personnes). je n'ai pas dit que le CERT @CreditAgricole avait de mauvaises intentions mais les moyens employés sont illégaux et il y a des défaillances »
Via le twitter de Bluetouff (https://twitter.com/bluetouff/with_replies)
(Permalink)
Tiens, y'a-t-il des mauvaises pratiques sans éthique voire illégales au CERT du Crédit Agricole ?
« Le CERT @CreditAgricole facture des activités de CSIRT au groupe @CreditAgricole mais ne gère pas de sécurité IT, seulement de la fraude.
Le CERT @CreditAgricole pirate illégalement tout ce qui lui semble être une menace. Le CERT @CreditAgricole cache illégalement la compromission de plusieurs sites bancaires. Le CERT @CreditAgricole a envoyé en fermeture (takedown) pour phishing un site officiel d'@Orange via @lexsi en usurpant une identité.
Le CERT @CreditAgricole manipule des données carte bancaire mais n'est pas certifié PCI-DSS.
Site banquaire Préviséo Obsèque groupe @CreditAgricole piraté 2 ans (données de religion) caché délibérément par son CERT TERRORISME @CNIL La RSSI de Préviséo Obsèque a sauté suite au hacking durant 2 ans du site bancaire du @CreditAgricole.
Le CERT @CreditAgricole dissimule des fraudes internes en ne conservant les logs des proxy sortant que 6 mois. Le CERT @CreditAgricole conserve des logs 18 mois. Le CERT @CreditAgricole conserve des copies de logs durant plusieurs années. (script shell manuel sans purge automatique). Il faut respecter les durées de rétention des logs de la loi française même si elle est différente de celle de la @CNIL.
Le CERT @CreditAgricole stocke illégalement en clair les mots de passe des comptes bancaires clients. Il ne faut plus stocker les mots de passe des clients dans les logs et les retirer des anciens logs.
Le CERT @CreditAgricole fausse les réponses aux réquisitions judiciaires. Les réponses aux réquisitions judiciaires sont souvent partielles. Il faut mettre un identifiant de jointure dans les logs pour tracer chaque session pour les réquisitions judiciaires.
Le CERT @CreditAgricole enregistre, bloque et diffuse à des tiers illégalement des données personnelles BIC/IBANs. J'avoue avoir illégalement, sur ordre du CERT, transmis plus de 700 IBAN à 34 personnes (confrères) sur liste underground SIC(sic@lexsi.com) Si un pirate enregistre votre BIC/IBAN sur un compte @CreditAgricole, vous êtes blacklisté à vie, vous ne recevrez plus jamais de virements! Si quelqu'un affirme avoir été arnaqué avec votre BIC/IBAN, vous êtes blacklisté illégalement sans le savoir à vie au @CreditAgricole ! exemple de BIC/IBAN blacklisté illégalement sans en avoir informé les détenteurs des comptes (macro SPLUNK) : vous ne pourrez pas ajouter ces IBANs à vos comptes bancaires @CreditAgricole vous pouvez essayer ça marche pas !!
[NDLR : blacklist semble confirmée : https://twitter.com/_michigale_/status/654820098734100480, entre autres ]
ça fait des semaines que j'harcèle l'@ANSSI_FR mais jamais de réponse ... merci de retweeté un des tweets
Attention pas d'amalgame CERT @CreditAgricole = 3 personnes (Groupe @CreditAgricole = 150 000 personnes). je n'ai pas dit que le CERT @CreditAgricole avait de mauvaises intentions mais les moyens employés sont illégaux et il y a des défaillances »
Via le twitter de Bluetouff (https://twitter.com/bluetouff/with_replies)
(Permalink)