Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Fuite de données personnelles aux Galeries Lafayette

Ça n'arrive pas qu'aux autres
Internet 2 min
Fuite de données personnelles aux Galeries Lafayette
Crédits : BsWei/iStock/ThinkStock

La semaine dernière, un des partenaires des Galeries Lafayette laissait fuiter des données personnelles de certains clients : numéro et montant de la commande, ainsi qu'adresse de livraison étaient par exemple accessibles à tout le monde. Suite à notre signalement, le souci a été corrigé. Explications.

Les fuites de données sont malheureusement monnaie courante sur Internet, bien que certaines soient plus importantes que d'autres, notamment lorsqu'il est question d'emails et de mots de passe... pas toujours chiffrés. Comme nous l'a signalé un lecteur, que nous remercions au passage, les Galeries Lafayette en ont récemment fait les frais, via un de ses partenaires : Arvato Bertelsmann, une société spécialisée dans la gestion de relation client, le marketing et la logistique.

C'est justement ce dernier point que le problème a été identifié. En effet, lors d'une commande, les Galeries Lafayette fournissaient un lien permettant de suivre son colis. Cette URL se terminait par une série de chiffres du genre « ?c=HYB10xxxxx ». Il suffit alors de changer la fin pour suivre le colis d'autres clients, sans avoir besoin de s'identifier.

Galeries LafayetteGaleries Lafayette

On y trouvait des informations sur l'adresse de livraison, le numéro de client de commande et de colis, le type d'envoi, la date de validation ainsi que le montant total de la commande. Il n'était donc pas question d'identifiants de compte avec email et mot de passe. Entre de mauvaises mains, ce genre d'informations pourrait très bien servir à mettre en place une campagne de phishing, mais aussi pour tenter de récupérer des colis de commandes dépassant une certaine valeur marchande.

Bien évidemment dès la découverte mardi de cette brèche, nous avions immédiatement contacté les Galeries Lafayette afin de leur donner tous les détails. Sans réponse de la part du revendeur, nous avons finalement remarqué que la brèche était bouchée vendredi dernier.

Finalement, suite à une relance de notre part, nous avons été contactés samedi midi afin de nous confirmer que la fuite avait bien été colmatée et que des mesures seraient prises afin d'éviter que cela ne se reproduise. Il nous a également précisé que des vérifications avaient lieu de manière régulière, mais cela ne semble malheureusement pas suffisant.

22 commentaires
Avatar de Spidard INpactien
Avatar de SpidardSpidard- 26/01/15 à 15:52:52

Ils vont faire comme la carte musique jeune ? :D

Avatar de Gab& INpactien
Avatar de Gab&Gab&- 26/01/15 à 16:04:56

Est-ce qu'ils ont dit merci au moins ?

Avatar de tomy100 Abonné
Avatar de tomy100tomy100- 26/01/15 à 16:16:32

Gab& a écrit :

Est-ce qu'ils ont dit merci au moins ?

C'est la 1ère question que je me suis posé quand j'ai vu qu'ils n'ont pas répondu...

Avatar de kiwamiz Abonné
Avatar de kiwamizkiwamiz- 26/01/15 à 16:21:01

Prochaine étape : NImpact accusé d'intrusion dans un système informatique:langue:

Avatar de Constance INpactien
Avatar de ConstanceConstance- 26/01/15 à 16:28:07

J'ai remarqué un problème très similaire chez un autre vendeur mais n'ai
jamais osé le leur signaler, de crainte justement d'être accusé de ce
genre de chose....

Avatar de Ami-Kuns INpactien
Avatar de Ami-KunsAmi-Kuns- 26/01/15 à 16:28:20

Et le lecteur aussi.

Édité par Ami-Kuns le 26/01/2015 à 16:28
Avatar de _Quentin_ Abonné
Avatar de _Quentin__Quentin_- 26/01/15 à 16:33:39

Bravo au lecteur et à NXI pour les avoir informés. J'espère aussi qu'ils vous ont au moins remercié ..

Ca me fait penser à un site internet qui lorsque l'on demandait à reset son mot de passe, ils le réinitialisaient en mettant le timestamp courant (à la seconde).
 Du coup il était relativement "facile" de faire un reset pour n'importe quel compte, tester 2/3 timestamps et rentrer sur le compte.. :cartonrouge:

Avatar de gathor Équipe
Avatar de gathorgathor- 26/01/15 à 17:08:52

Constance a écrit :

J'ai remarqué un problème très similaire chez un autre vendeur mais n'ai
jamais osé le leur signaler, de crainte justement d'être accusé de ce
genre de chose....

_Quentin_ a écrit :

Bravo au lecteur et à NXI pour les avoir informés. J'espère aussi qu'ils vous ont au moins remercié ..

Ca me fait penser à un site internet qui lorsque l'on demandait à reset son mot de passe, ils le réinitialisaient en mettant le timestamp courant (à la seconde).
 Du coup il était relativement "facile" de faire un reset pour n'importe quel compte, tester 2/3 timestamps et rentrer sur le compte.. :cartonrouge:

Dans les deux cas, n'hésitez pas à nous faire passer l'info qu'on puisse vérifier et informer la société afin que la brèche soit colmatée :chinois:  

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 26/01/15 à 18:19:57

Vous n'avez rien compris, ils passent juste les espaces clients en open data :ouioui:

Avatar de Reznor26 INpactien
Avatar de Reznor26Reznor26- 26/01/15 à 18:36:44

Merci à vous et au lecteur donc :chinois:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3