Un site de covoiturage laisse fuiter l’ensemble des pièces d’identité de ses usagers

Un site de covoiturage oublie de protéger les documents personnels de ses milliers d’utilisateurs. Bienvenue dans le petit monde de l’external-storage !

Le site Russe City Mobil s’est donné comme mission louable de permettre aux automobilistes de partager leur voyage. Du covoiturage, simple et efficace. Mais les administrateurs du site web en question se sont peut-être posé la question à savoir : « Et si nous laissions en accès libre l’intégralité des informations personnelles et sensibles de nos usagers ?« .

Bien évidemment, du moins je l’espère, ils ne l’ont pas fait sciemment de permettre un accès libre à l’url « external-storage.city-mobil.ru« . Non, non, vous ne rêvez pas. Ils ont bien nommé un dossier sur le serveur web « external-storage« . Les moteurs de recherche se sont jetés sur le contenu !

Des milliers de pièces d’identités accessibles

Il ne manquait plus que les flèches clignotantes pour que l’ensemble des malveillants du web viennent aspirer le moindre permis de conduire des utilisateurs locaux. Plus de 4 000.

D’ici là que nous retrouvions 2/3 FSB, 2/3 CIA et 2/3 dealers locaux, il n’y a qu’un pas… que je ne franchirai pas. Je nage mal dans le béton !

En attendant, j’ai repéré un pirate Colombien qui ne s’est pas privé de copier l’ensemble de la base de données. Le site a repéré le « Scrapping » un peu trop tard et a mis son espace en mode « 403 Запрещено« .

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.