[lazasec]

[font][font]Salut BreachForums,[/font][/font][font][font]Salut Gouvernement Français,[/font][/font] [font][font]Nous avons piraté le site https://www.marches-publics.gouv.fr/entreprise et extrait 14 millions d'enregistrements.[/font][/font]  [font][font]=== VIDANGE COMPLÈTE DE LA BASE DE DONNÉES ===[/font][/font] [font][font]Données personnelles et professionnelles (10,2 millions de lignes) :[/font][/font][font][font]- Raison sociale[/font][/font][font][font]- SIRET / SIREN / NIC[/font][/font][font][font]- Adresse complète (rue, ville, code postal, région)[/font][/font][font][font]- Email de contact (notamment @gouv.fr, @police-nationale.interieur.gouv.fr, @defense.gouv.fr, @finances.gouv.fr)[/font][/font][font][font]- Numéros de téléphone directs / numéros de portable[/font][/font][font][font]- Statut juridique (SARL, SA, SAS, EURL, auto-entrepreneur)[/font][/font][font][font]- Code APE/NAF[/font][/font][font][font]- Date d'enregistrement et date de dernière modification[/font][/font] [font][font]Données relatives aux appels d'offres et aux contrats (3,5 millions de lignes) :[/font][/font][font][font]- Numéro d'identification du contrat (DCE / numéro de marché)[/font][/font][font][font]- Valeur du contrat (€) — y compris les budgets et les montants attribués[/font][/font][font][font]- Dates et durée de l'attribution[/font][/font][font][font]- Entité acheteuse (ministère, région, ville, institution publique)[/font][/font][font][font]- Nom et SIRET de l'adjudicataire[/font][/font][font][font]- Nombre de soumissionnaires[/font][/font][font][font]- Critères et scores d'évaluation[/font][/font][font][font]- Statut du contrat (en cours, attribué, terminé, résilié)[/font][/font][font][font]- Métadonnées PDF complètes (noms des auteurs, dates de création, chemins internes)[/font][/font] [font][font]Comptes utilisateurs (2,3 millions de lignes) :[/font][/font][font][font]- Nom complet (prénom + nom)[/font][/font][font][font]- Adresse e-mail (personnelle + professionnelle)[/font][/font][font][font]- Numéro de téléphone (fixe + portable)[/font][/font][font][font]- Hachages de mots de passe (coût bcrypt 4 — faible, facilement cassable)[/font][/font][font][font]- Mots de passe en clair (plus de 65 000 comptes stockés en clair dans une table de journalisation de débogage)[/font][/font][font][font]- Jetons de réinitialisation de mot de passe (encore valides pour certains comptes)[/font][/font][font][font]- Jetons de session (actifs au moment du vidage)[/font][/font][font][font]- Jetons JWT avec privilèges d'administrateur (non expirés)[/font][/font][font][font]- Horodatage de connexion avec adresse IP (géolocalisation complète)[/font][/font][font][font]- Chaînes d'agent utilisateur (navigateur, système d'exploitation, informations sur l'appareil)[/font][/font][font][font]- Journal des tentatives de connexion infructueuses (aucune protection contre les attaques par force brute)[/font][/font][font][font]- Date de création du compte[/font][/font][font][font]- Date de la dernière modification du mot de passe[/font][/font][font][font]- Statut du compte (actif, suspendu, banni, en_attente_validation)[/font][/font][font][font]- Rôles utilisateurs (fournisseur, acheteur, admin_departement, super_admin, admin_plateforme)[/font][/font][font][font]- Comptes de super administrateur (37 au total) — tous avec une dernière connexion datant de moins de 30 jours[/font][/font][font][font]- Champs de notes internes (certains admins ont laissé des commentaires comme "à vérifier", "client prioritaire", "compte douteux")[/font][/font][font][font]- Questions et réponses de réinitialisation du mot de passe (stockées en clair — "nom de jeune fille de votre mère", "ville de naissance")[/font][/font][font][font]- Codes de secours pour l'authentification à deux facteurs (stockés dans la même table que les données utilisateur, non chiffrés)[/font][/font][font][font]- Jetons de vérification d'adresse électronique[/font][/font][font][font]- Clés API liées aux comptes utilisateurs (pour les enchères automatisées)[/font][/font][font][font]- Informations de facturation (RIB / IBAN pour certains comptes utilisateurs — partiel, 4 derniers chiffres + nom de la banque)[/font][/font][font][font]- Journaux de session utilisateur avec les pages visitées, le temps passé et les actions effectuées (clics, recherches, téléchargements).[/font][/font] [font][font]Exemple de téléchargement : [lien pastebin/mega][/font][/font] [font][font]Prix ​​: Négociable / BTC / XMR[/font][/font][font][font]Contact : Telegram @pidssid[/font][/font][font][font]t.me/lazasec[/font][/font][font][font]-[/font][/font][font][font]Lazasec [/font][/font] [font][font]PS : La sécurité informatique française est vraiment basse. Vos administrateurs devraient revoir leurs copies. 14M de records sur un site .gouv sans protection digne de ce nom.[/font][/font] [font][font]On a littéralement dump la base en 20 minutes avec un SQLi basique.[/font][/font] [font][font]La prochaine fois, on refera pas un post, on ira direct chez les compétiteurs étrangers. Bonne chance avec l'ANSSI.[/font][/font]