Jingoo corrige une fuite de données visant ses clients

Posted On 21 Sep 2015

Tag: cv, données, factures, fuite, identités

Le site Internet Jingoo, un spécialiste de la photographie, corrige une fuite de données concernant les factures de ses clients.

Pendant que la presse généraliste se retourne sur les communiqués de presse divers et variés des éditeurs de solutions de sécurité informatique (malware pour iPhone; les vilains pirates Chinois; …) c’est oublier que pendant ce temps, dans la vraie vie numérique, les données de centaines de milliers de Français sont maltraitées, piratées, oubliées sur la toile. Chez ZATAZ, nous commençons sérieusement à en avoir marre de voir des CV réclamés par des pseudos professionnels du web laisser en pâture, comme pour le cas de 3 sociétés que le protocole d’alerte zataz vient d’alerter; ou encore des factures de clients sauvegardées et abandonnées sur le web. Depuis quand un site Internet est un espace de stockage ?

Le site Jingoo met à disposition des photographes professionnels un ensemble de services gratuits pour déposer, présenter, vendre, partager leurs photos. Un problème informatique de conception a rendu possible l’accès aux factures des clients. La fuite a été rapidement corrigée après l’alerte d’un internaute. Il est encore possible de trouver des traces dans Google. Cela fait un peu tâche de trouver les références de tous les clients professionnels, ainsi que les clients de leurs clients professionnels. Des données malheureusement parfaites pour des cyber escrocs.

Google gardait encore en mémoire des factures datant de 2012.

Pour les sites de recherche d’emploi, nous ne pouvons en dire plus pour le moment, les fuites ne sont pas encore corrigées, et Google continue de sauvegarder les informations d’internautes (CV, identités…).

Et la loi ?

Comme le rappel la Commission Informatique et des Libertés (CNIL), tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Ne pas protéger correctement des informations à caractère personnel, et sensibles (imprudence ou négligence) est puni de 3 ans d’emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal). Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. (art. 226-17 du code pénal).

Il est prévu, normalement, que la législation Française soit modifiée pour protéger les internautes et leurs données. Considérée comme une nécessité, la réforme du cadre législatif de la protection des données personnelles a connu des avancées importantes entre la fin de l’année 2013 et 2014. Massivement approuvé par les eurodéputés, le projet de règlement a également été beaucoup amendé, vers plus de sévérité. La législation Française doit se fondre aux obligations Européennes. D’ici fin 2016, les entreprises auront, normalement, obligation d’alerter leurs clients, par voie postale, via une lettre recommandée, avec accusé de réception, soit 6,30€ par client. Imaginez les entreprises et autres startups affichant fièrement 100.000 clients : 100.000 x 6,30€. Le budget « Poste » risque d’exploser. Sans parler des budgets « réparation », « avocats », …

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.