ZDNet rapporte que le problème, corrigé, venait d'un outil de recherche exposé par erreur sur Internet. À partir d'un numéro de téléphone, il laissait n'importe qui obtenir le nom, l'adresse et le code PIN de la ligne concernée, voire des informations fiscales.
Un appel à une API était ainsi possible, en complétant simplement une URL avec le numéro voulu. Le sous-domaine de l'outil était simplement accessible via les moteurs de recherche, selon nos confrères.
La page a été retirée début avril, une journée après que le chercheur Ryan Stevenson l'a signalé. Il a reçu 1 000 dollars en récompense, via un programme de bug bounty. Selon Motherboard, dans un article d'octobre 2017, des pirates auraient bien exploité cet outil.
Commentaires (12)
#1
Pour moi le code PIN devrait être crypté en base…ca reste un mot de passe.
#2
Chiffré ou pas, le soucis c’était le moteur de recherche, qui lui doit déchiffrer les données pour les présenter a l’utilisateur.
#3
#4
#5
#6
#7
“Nous sommes désolés. Nous n’avons pas pris conscience de la mesure de notre responsabilité envers les données personnelles de nos clients. Dorénavant, nous allons tout mettre en oeuvre pour respecter les données personnelles qui nous sont confiées.” (méthode Zuckerberg)
#8
Vous excellez dans l’art de prendre les gens pour des cons. Je m’incline et déclare forfait.
#9
#10
Vous me décevez, elle est médiocre celle-là. Vous m’auriez traité de con à la 2e personne, j’aurais apprécié. Là vous visez à côté, c’est moche. Et reprendre un de mes commentaires, ça manque méchamment d’originalité, ça me fait perdre tout intérêt pour notre discussion. Je veux bien ressentir votre mépris à mon égard, mais montrez vous innovant (ou insultez moi plus directement). Je sais que vous valez mieux que ça.
#11
#12
Pourquoi faire mieux ? Et merci de vous intéresser à mon “niveau” : c’est rare les gens empathiques comme vous.