Rétrospective 2016

Correction d’une fuite de donnée pour le site web de Cristina Córdula

La reine de la mode sur la chaîne de télévision M6, et directrice d’une agence de relooking parisienne, Cristina Córdula, vient de corriger une fuite de données découverte sur son site web.

C’est une alerte d’un internaute qui va me mettre la puce à l’oreille concernant une fuite de données via le site web de l’animatrice de l’émission « Les reines du shopping« , Cristina Córdula. Cette professionnelle de la mode, avant d’être la présentatrice de l’émission proposée par M6, est la directrice d’une agence de relooking parisienne. Cette ancienne mannequin, femme d’affaire, possède un site web sur lequel sont prodigués conseils, formations, ateliers …

Les internautes peuvent lui poser des questions. Et c’est ici qu’est apparu le problème. Dans ce qui semble être un « backup » oublié, les messages des internautes apparaissaient, avec leurs adresses IP et les adresses mails.

Une fuite de données qui aurait pu permettre à des malveillants, si ces derniers avaient eu connaissance de l’information, d’orchestrer des escroqueries aux couleurs de la belle brésilienne.

Et c’est ici que le bât blesse. J’ai retrouvé l’information dans trois espaces web. Deux de ces espaces sont tenus par des pirates, le troisième dans un site de bug bounty public. Ce dernier, et je trouve cela honteux, affiche les failles quand elles ne sont pas corrigées au bout d’un certain temps. Dans les deux sites pirates, des discussions autour de répertoire WordPress open bar !

Un site pirates affichait une discussion sur les répertoires WordPress ouverts. Le site de Mme Córdula  était présent via cette capture écran diffusait par un pirate. – source: zataz.com

Contacté par courriel le dimanche 24 mai, l’équipe de Cristina va répondre et corriger dans la foulée. Bravo !

Pour éviter ce genre de déboire, il est fortement conseillé d’utiliser une adresse électronique dédiée pour chaque site que vous utilisez. En cas de fuite, vous savez d’où elle vient.

Comme le rappel la CNIL une données personnelle est : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

Je n’ai pas eu la chance de recevoir un remerciement de Dame Córdula ! Je dois mal porter la jupe !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr
  1. Secu Watch Reply

    Je confirme que réactivité moyenne car le probleme est ancien et l’alerte date de fevrier au moins.

    Contactes par le protocole OBB et par leur site, pas de reaction, tant mieux si vous avez pu faire bouger.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.