Fuite de factures pour ELLIA et EBUZZING

Les fuites de données n’arriveraient qu’à nos voisins américains ? Ils ont au moins le mérite de les avouer. ZATAZ fait corriger deux problème de confidentialités des données visant une importante régie publicitaire et le premier opérateur de parking de gares françaises.

JP Morgan Chase : 83 millions de clients ; Michael’s : 70 millions de clients ; Home Depot : 56 millions ; Le département de la santé ; Coca Cola ; Target ; UPS ; ADOBE ; … Des entreprises américaines obligées de communiquer sur la fuite de données les concernant. En France, à part Orange en début d’année (et encore, l’entreprise aurait mieux communiqué avec la CNIL, l’information n’aurait pas été rendue publique, ndlr), une quarantaine de Centres Hospitaliers, il semble qu’aucune données clients ne se retrouvent sur la toile par erreur, via un bug ou un piratage informatique. Si vous lisez ZATAZ, vous savez que malheureusement cela arrive très, trop souvent. En mai dernier nous vous révélions le cas de Show Room Privée. Voici les deux derniers cas en date que le protocole d’alerte zataz a traité ses derniers jours. Ils ne visent pas des dizaines de millions de clients, mais à l’échelle de notre pays, les chiffres devraient pourtant faire réfléchir.

500.000 factures en accès libre

EFFIA est le premier opérateur de parking public de France. Sa mission, gérer pour plus 260 parkings pour plus de 140 municipalités. Effia gère aussi les places de stationnement des espaces dédiés autour des gares. Un partenaire unique de la SNCF. Les milliers de clients (+25000) peuvent réserver leur place via un site oueb dédié, Resaplace.com. Par exemple, vous souhaitez vous stationner pour visiter le Mondial de l’automobile ? Simple, vous accédez au portail ResaPlace, choisissez date, heure et parking. Le site vous propose ensuite de télécharger votre facture au format PDF. Il y a encore quelques jours, le client curieux pouvait tout à loisir, sans restriction, accéder à l’ensemble des factures appartenant aux autres utilisateurs. Une manne d’informations loin d’être négligeable. Plus de 500.000 factures, selon l’indication même du site, auraient pu donner de quoi mettre en place une belle escroquerie dans les mains d’un malveillant. A la décharge de l’entreprise, cette dernière aura été prompte à répondre au protocole d’alerte de zataz, à corriger et nous a indiquer les réponses liées aux solutions mises en place pour protéger les clients. Heureusement, pas de données bancaires accessibles.

Et beaucoup plus encore…

Second cas, plus grave encore, car il touchait l’intégralité des clients Français, mais aussi les utilisateurs internationaux de la régie publicitaire EBuzzing. Ici aussi, l’intégralité des factures étaient accessibles en quelques clics de souris. Stratégiques, car les factures permettaient, en plus d’avoir les informations sur les webmasters (mettre une identité et une adresse physique sur un site web, ndlr), connaitre le trafic, les montants versés. EBuzzing a corrigé rapidement cette fuite à la suite de notre protocole d’alerte et nous a expliqué les actions menées pour que cela ne se reproduisent plus. « Tous les documents internes ou factures nécessitent maintenant des droits spécifiques, confirme le service communication de la régie. C’est une récente mise à jour qui a fait sauter les contrôles de sécurité et vous êtes assuré que nous travaillons dessus en priorité. »

D’ici 2016, l’Europe va imposer aux entreprises qui « fuitent » sur le web d’en alerter leurs clients, comme c’est le cas aus États-Unis. Une excellente idée que zataz prône depuis 19 ans, histoire de permettre aux victimes de prêter attention à d’éventuelles sollicitations douteuses réalisées à partir de leurs données volées ou perdues.

Que faire pour récupérer un nom de domaine piraté ?
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende. art. 226-22 du code pénal.

 

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.