Les fuites de données personnelles se suivent et ne se ressemblent pas. Alors que Labio.fr fait face à une demande de rançon et la publication de bilans médicaux, la SNCF a laissé trainer nom, prénom et numéro de portable de plusieurs de ses clients sur son service de rappel. Pour obtenir une nouvelle salve de données personnelles, il suffisait de rafraichir la page dédiée d'un coup de touche « F5 ».
Hormis pour quelques destinations prisées de l'été (Côte d’Azur, Côte Basque et Auvergne par exemple) qui bénéficient d'une ouverture des ventes anticipée, la SNCF ne propose ses billets que trois mois à l'avance. Ce sera donc le rush début avril, chez ceux qui veulent profiter de billets à prix doux, en prévision des grandes vacances.
Afin de se rappeler au bon souvenir de ses clients, la SNCF a mis en place un service de rappel bien pratique, proposé par mail à certains d'entre eux, histoire de ne pas rater le coche : « Soyez les premiers à profiter de l'ouverture des ventes d'été pour profiter des meilleurs prix et d'un maximum de disponibilités. Renseignez avant le 29 mars à minuit votre n° de mobile et recevez jeudi 2 avril un rappel SMS directement sur votre téléphone ».
Problème, la page en question était un peu trop bavarde et laissait allégrement fuiter des informations personnelles des usagers. Pire, aucune manipulation plus ou moins complexe n'était requise puisqu'il suffisait de presser la touche « F5 » en série pour voir défiler les informations personnelles des clients.
La SNCF aura par contre été relativement rapide pour boucher cette brèche de sécurité puisque, d'après nos constatations, plus aucune donnée sensible ne fuite depuis 14h30. Nous avons évidemment contacté la société afin de savoir combien de clients étaient potentiellement touchés, sans retour pour le moment. Nous mettrons à jour cette actualité dès que nous aurons un retour de sa part.
Merci à Alexandre.
