Cookies – Bug sur le site de La Poste, données clients accessibles

Cookies or not cookies ! Voilà un bug informatique que nous ne pensions plus voir, du moins sur des structures telles que le web de La Poste. En rafraîchissant la page du portail, certaines données clients apparaissaient.

Ah, les cookies ! En informatique, cela sert à connaitre les visiteurs de votre site ; à proposer des services personnalisés ; à maintenir un compte client ouvert le temps de la présence de ce dernier.

Un cookie peut aussi se retourner contre son utilisateur. Une exploitation d’un cross-site scripting et voilà un pirate dans votre espace (en même temps que vous) ; vous noyer de publicités très/trop ciblées ; vous êtes tracés.

Il peut aussi engendrer un bug comme celui vécu par la Poste ce mercredi matin.

Paulette, y a Yvonne et Jean-Jean dans mon écran

Une fois sur le site de La Poste, et quand vous rafraîchissiez la page, les identités et commandes d’autres clients apparaissaient.

Un petit script en python aurait pu permettre à un malveillant de copier les informations affichées.

Plusieurs internautes s’en sont inquiétés sur Twitter. « #LaPoste @LaPosteBusiness. Probablement un souci sur votre site web, en changeant de page, je tombe sur des comptes différents du mien, et du coup je vois les commandes des comptes etc… » indique Théo.

« T’es direct connecté sur le site avec le compte d’un inconnu juste en visitant le site depuis un mobile 😱 » confirme btrd. « Et à chaque refresh on a une personne différente avec toutes les infos persos accessible ! » constate Thomas.

ZATAZ confirme le problème ce problème de gestion de Cookies bugguée.

https://twitter.com/lisalaposte/status/1141640663156572160

Le « bug » semble être apparu en ce mercredi matin. A 11h35, après une mise en maintenance du site, La Poste communique sur le sujet « Bonjour, incident résolu. Je vous présente les excuses de La Poste pour la gêne occasionnée. Bonne journée. »

Un bug qui tombe sous le coup du RGPD. Une violation de données au sens de l’article 4.12 du Règlement Général de la Protection des Donnée… et l’obligations des articles 33 « Notification à l’autorité de contrôle d’une violation de données à caractère personnel » et 34 « Communication à la personne concernée d’une violation de données à caractère personnel ».

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Z3r0 Reply

    pas forcément un problème de cookie

Répondre à Z3r0 Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.