escroquerie securite woocommerce

J’ai reçu hier via le formu­laire de contact de ma boutique WooC perso le message suivant

Hi,

My name is Koutrouss, I’m a free­lance secu­ri­ty researcher.
Just wonde­ring if you have a bug boun­ty program, do you give cash reward for vulne­ra­bi­li­ties found on echo​des​plu​gins​.li​-an​.fr website ?
if yes, in case you have that, where can I report issues to you ?

Best Regards,
Koutrouss

On remar­que­ra que la personne en ques­tion a fait un assez long chemin pour me contac­ter puisqu’il a utili­sé le formu­laire d’un autre site (mais tous les deux en sous-domaine) que celui dont il voulait me parler. Pour ceux qui maîtrisent mal la langue de Taylor Swift, M.Koutrouss Nadda­ra m’annonce avoir trou­vé une faille de sécu­ri­té sur mon site et s’enquiert de savoir s’il y a un programme de récom­pense lié à ce genre de choses. En effet, de nombreuses insti­tu­tions et certains sites paient les déve­lop­peurs qui trouvent des failles. Mais dans le cas présent, cela ressemble plutôt à une tenta­tive d’escroquerie. Il y a très peu de chance qu’un parti­cu­lier comme moi ait un budget dédié et les mises à jour auto­ma­ti­sées de mes sites plus la solu­tion de sécu­ri­té mise en place limitent gran­de­ment les possi­bi­li­tés d’une faille (sans comp­ter que je suis l’actualité sécu­ri­té de WordPress).

C’est en gros ce que j’ai répon­du à M.Naddara : si faille il y avait, il pouvait contac­ter les déve­lop­peurs des exten­sions et du thème utili­sé (j’ai bien un peu de code perso mais il est très basique). Et si c’était une tenta­tive d’escroquerie, il pouvait aller (complé­ter par votre injure préférée).

Un peu de recherche montre que cette personne est très proba­ble­ment un escroc qui fait feu de tout bois, puisqu’on le retrouve ici https://​www​.eclipse​.org/​l​i​s​t​s​/​s​e​c​u​r​i​t​y​/​m​s​g​0​0​0​2​3​.​h​tml. On trouve néan­moins un Kotros Nada­ra remer­cié pour avoir noti­fié une faille de sécu­ri­té dans CPanel en 2013 et dans Oracle en 2014.

Dernière modification: 1 mai 2021

Commentaires

Écrire une réponse ou un commentaire

Votre adresse email ne sera pas publiée.

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.