Mini fuite de données pour le site LaPoste.fr

Étonnante fuite de données que celle vécue, mercredi 21 septembre, sur le site Internet LaPoste.fr. Je pouvais accéder aux bons de retraits de plis et colis de clients basés dans toute la France.

Une fuite de données peut prendre de nombreuses formes. Le site de la Poste, Laposte.fr, a fuité d’une étrange manière, mercredi 21 septembre. Il est aux alentours de 19h30 quand la page dédiée aux « Bons de retrait » s’amusait à diffuser des informations appartenant à d’autres clients. Rien de sensible dans les données, mais cela démontre que l’automatisation n’a pas que du bon.

Les fichiers diffusés aléatoirement, alors que je souhaitais accéder à mon bon, des PDF aléatoires. Ils affichaient le numéro de la lettre ou du Colissimo d’un autre client, avec son code barre et l’identité de la dite personne.

Un pirate aurait eu fort à faire pour voler les courriers ou colis via ces feuillets, la poste réclamant une pièce d’identité et du bon de retrait en question. Mais le monde du piratage et du social engineering a besoin de bien moins d’informations pour agir de façon malveillante. Alerté, le CERT La Poste, a réagi à la seconde. La fuite disparaissait vers 20h.