Finary a t il déjà eu des tentatives de hacking ?
faudrait être plus précis dans la question : il suffit d’avoir une adresse IP publique sur un quelconque équipement pour recevoir toute sorte de tentative de hacking (scan des portes, tentatives d’accès en ssh. etc.) qui sont faits en automatique; donc dans le sens large la réponse serait très probablement « oui, comme tout le monde » 
Quand je rajoute une startup, on me propose souvent une liste et parfois dans cette liste, je retrouve des startups qui ont demandé explicitement à ne pas communiquer. J’imagine que d’autres utilisateurs ont créé la startup et quelle rentre alors dans la liste. […]
Non on ne partage pas ces données entre les users, si une startup est disponible c’est parce qu’elle est disponible sur une source publique qui les liste, comme YClist ou Crunchbase peuvent le faire.
Le personnel qui prend en charge le support est-il contractuellement engagé à ne pas communiquer d’informations. J’entends des contrats de type NDA avec sanctions en numéraire très dissuasives ou bien s’agit-il uniquement d’une clause de secret professionnel classique à l’engagement ?
Oui, toute la team a une clause stricte de confidentialité
Finary a t il déjà eu des tentatives de hacking ?
@AlexIT a très bien résumé 
« oui, comme tout le monde »
Et une tentative de hacking en profondeur ?
Pouvez-vous me donner toutes les listes publiques utilisées ?
Pas à ce qu’on sache
Non, ca rentre dans le cadre de la propriété intellectuelle
Est ce que les logins/mots de passe des comptes que l’ont connecte sur finary peuvent etres accessibles par un employé finary ou un sous traitant ?
Bonjour @Gab,
Les identifiants sont traités par nos partenaires, toute la chaine est chiffrée et ils appliquent les mesures nécessaires de sécurité pour que cela ne soit pas le cas : article dédié sur la FAQ, valable pour Plaid et Flanks également.
Bonjour ,
Après une dizaine de jours d’utilisation de Finary, j’ai reçu un texto a 3h du matin de bourse direct me disant qu’un nouvel équipement c’était connecté à mon compte.
Je soupçonne qu’il s’agisse d’une synchro finary sans en être sûr.
Comment confirmer ?
BD me dit , IP localisé a Ecouen ? Depuis un Firefox.
Je comprends pas pourquoi cette alerte après 10j et pas avant ?
(Dans le doute j’ai changé le password et couper la synchro pour le moment)
Merci
A défaut si un utilisateur de BD peut me dire si il constate les mêmes connexions dans son historique sur le site de BD ?
Merci bcp.
Il y a eu les mêmes retours dans la section Finary+, et Finary a confirmé qu’il s’agissait bien de Powens.
De mon côté, j’ai eu aussi des alertes de connexion sur Linxea hier. Un utilisateur m’a dit que le plus simple était de regarder si l’heure d’accès correspondait à l’heure de synchronisation visible dans le listing des comptes sur Finary. Ca permet de se rassurer !
"Bonjour,
Je constate de multiples connexions sur mes comptes bourse direct qui ne sont pas de mon fait.
Il s’agit d’un OS Linux et avec Firefox comme browser , exemple:
www.boursedirect.fr - Firefox (v102.0)
Dernière connexion le 20/06/2023 à 20:05 - Adresse IP : 217.181.249.67 - Ecouen France
Pouvez-vous me confirmez qu’il s’agit de votre prestataire Powens ex Budget insight que vous utilisez pour la synchro ?
Merci
Gilles"
Bonjour,
Idem de mon côté pour Linxea.
J’ai eu le même réflexe de regarder si l’heure de la connexion correspondait à la synchro, ce qui était le cas. Toujours troublant de recevoir ce genre de mails.
Bonne journée,
Merci bcp a vous 2 pour ce retour très rassurant !
Bonjour @Bebeu et @Vincentcb,
@plschaming a répondu dans d’autres threads mais ce sont bien des alertes dues aux synchronisations de Powens (pour BD et Linxea), nous les avons prévenus.
1 « J'aime »
Je laisse @Florimon te répondre sur la partie FISA/RGPD
Je n’ai pas vu de réponse mais je me doute qu’elle puisse renverser les plus hautes instances de la justice, du droit EU et 10 ans de jugements (voir jugements Schrems I et Schrems II et leurs conséquences).
Pour en savoir plus:
Bonjour
2 questions de mon côté et probablement aussi par déformation professionnelle :
1 - Gérez vous vous même l’authentification ? Ou déléguez vous cela à des spécialistes (Auth0 ou autre)? Notamment pour les personnes utilisant username / password la question se pose moins pour les personnes connectés via Google
2 - Utilisez vous un WAF ou est ce une fonctionnalité fournie par GCP?
Bon j’avoue qu’en posant ma question je ne suis pas sûr que vous ayez la possibilité de me répondre… Mais bon je demande quand même
Bonne journée
1 « J'aime »
Bonjour @Pierrrrrrrot,
On utilise Clerk pour l’authentification, qui a le même coeur de métier qu’auth0 avec quelques différences d’implémentation. Ca nous permet de ne pas réinventer la roue et de bénéficier de leur expertise sur cette partie.
Oui, Cloudflare (chez GCP c’est Cloud Armor)
Ce sont des informations qu’on peut trouver en quelques commandes, pas de secret à ce niveau la
2 « J'aime »
Bonjour @Mence ,
Si les données transitent par le CDN Cloudflare et leur WAF, cela veut dire qu’elles sont en clair au niveau des serveurs edge présents sur l’ensemble des continents sélectionnés via leurs POP (du fait de la rupture protocolaire obligatoire pour analyse des requêtes et des données, mise en cache etc), mais veut également dire que les clés privées de déchiffrement des terminaisons SSL y sont présentes également.
Quid de la protection des données dans ces zones de services mutualisées ? Avez vous des clauses spéciales avec Cloudflare ? Avez vous tout simplement limité les zones de distribution (geoip, désactivation de zones etc) pour que seuls les POP européens répondent et traitent les données ?
Bonne journée.
1 « J'aime »
Me voici Alex, me voici,
J’ai été un peu long, et j’en suis navré !
En effet, aucun renversement de situation, de toute façon la CNIL est claire à ce sujet :
Dans notre schéma donc, Google Cloud Platform (GCP) héberge nos données dans l’UE, ici nous n’avons alors pas de besoin de Claudes Contractuelles Types « CCT » (pas de transfert hors UE) néanmoins, GCP peut effectuer des transferts vers Google « Etats-Unis » (dans ce cas Google LLC) ici des CCT deviennent indispensables.
CCT qui sont en place et s’applique à tous transfert de données personnelles d’une entité Google domiciliée dans l’UE à une entité domiciliée en dehors de l’UE, le tout est encadré dans le « Data Protection Addedum » qui unie Finary et GCP, DPA qui consacre le respect du RGPD, et notamment de son article 28 au sujet de la responsabilité des sous traitants, dans le cadre de transfert de données hors UE.
Et pour répondre à une question un peu plus philosophique « est ce grave que X est accès à tes données Y ? » On touche du doigt le problème : « parce que je n’ai rien à me reprocher » ne veut pas dire que j’accepte que des sociétés (privées ou publiques) et accès à ma vie privée, sauf dans les cas où je consente à ce qu’elles est cet accès, ce qui est l’un des raisons d’être du RGPD (en autre).
Une base que le NOYB défend, et qui nous permet d’avancer un peu plus sereinement, et qui me cause des mots de têtes à répétition.
Bien à tous !
Flo
2 « J'aime »