La semaine dernière, un des partenaires des Galeries Lafayette laissait fuiter des données personnelles de certains clients : numéro et montant de la commande, ainsi qu'adresse de livraison étaient par exemple accessibles à tout le monde. Suite à notre signalement, le souci a été corrigé. Explications.
Les fuites de données sont malheureusement monnaie courante sur Internet, bien que certaines soient plus importantes que d'autres, notamment lorsqu'il est question d'emails et de mots de passe... pas toujours chiffrés. Comme nous l'a signalé un lecteur, que nous remercions au passage, les Galeries Lafayette en ont récemment fait les frais, via un de ses partenaires : Arvato Bertelsmann, une société spécialisée dans la gestion de relation client, le marketing et la logistique.
C'est justement ce dernier point que le problème a été identifié. En effet, lors d'une commande, les Galeries Lafayette fournissaient un lien permettant de suivre son colis. Cette URL se terminait par une série de chiffres du genre « ?c=HYB10xxxxx ». Il suffit alors de changer la fin pour suivre le colis d'autres clients, sans avoir besoin de s'identifier.
On y trouvait des informations sur l'adresse de livraison, le numéro de client de commande et de colis, le type d'envoi, la date de validation ainsi que le montant total de la commande. Il n'était donc pas question d'identifiants de compte avec email et mot de passe. Entre de mauvaises mains, ce genre d'informations pourrait très bien servir à mettre en place une campagne de phishing, mais aussi pour tenter de récupérer des colis de commandes dépassant une certaine valeur marchande.
Bien évidemment dès la découverte mardi de cette brèche, nous avions immédiatement contacté les Galeries Lafayette afin de leur donner tous les détails. Sans réponse de la part du revendeur, nous avons finalement remarqué que la brèche était bouchée vendredi dernier.
Finalement, suite à une relance de notre part, nous avons été contactés samedi midi afin de nous confirmer que la fuite avait bien été colmatée et que des mesures seraient prises afin d'éviter que cela ne se reproduise. Il nous a également précisé que des vérifications avaient lieu de manière régulière, mais cela ne semble malheureusement pas suffisant.
Commentaires (22)
#1
Ils vont faire comme la carte musique jeune ? " />
#2
Est-ce qu’ils ont dit merci au moins ?
#3
#4
Prochaine étape : NImpact accusé d’intrusion dans un système informatique" />
#5
J’ai remarqué un problème très similaire chez un autre vendeur mais n’ai
jamais osé le leur signaler, de crainte justement d’être accusé de ce
genre de chose….
#6
Et le lecteur aussi.
#7
Bravo au lecteur et à NXI pour les avoir informés. J’espère aussi qu’ils vous ont au moins remercié ..
Ca me fait penser à un site internet qui lorsque l’on demandait à reset son mot de passe, ils le réinitialisaient en mettant le timestamp courant (à la seconde).
Du coup il était relativement “facile” de faire un reset pour n’importe quel compte, tester 2⁄3 timestamps et rentrer sur le compte.. " />
#8
#9
Vous n’avez rien compris, ils passent juste les espaces clients en open data " />
#10
Merci à vous et au lecteur donc " />
#11
" />
#12
vous n’avez pas peur ? après toutes les affaires perdu par des personnes ayant trouvé ce genre de failles, genre kitestoi etc …
et la protection des sources en cas de saisi de serveur chez vous ? Vous etes considéré comme journalistes ? dans le sens noble du terme (nan je déconne là)
#13
On trouve tout au BHV aux Galeries Lafayette.
#14
#15
Profitez-en pour leur dire qu’en bas, “Veuillez visiter le site web d’ Kiala FR” et “Veuillez visiter le site web d’ La Poste” ça fait moche " />
#16
#17
#18
Aux Galerie Lafaille " />
#19
Je les avait contacté directement, sans réponse, au bout de 6 mois j’ai contacté un blogger connu qui les a contacté, et la “faille” a été corrigée sous 7 jours comme par magie…
La prochaine fois que je me retrouve face à ce genre de problème (ça arrive bien une à deux fois par an ..), je vous contacterai " />
#20
#21
En periode de solde la premiere pour les clients et la deuxième demarque pour les pirates.." />
Astucieux les Galeries Lafayette.." />
" />
#22
C’est un complot de Tampax pour promouvoir ses ventes… " />