Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

À la SNCF, une fuite de données simple comme une touche F5

Un utilisateur peut en cacher un autre
Internet 2 min
À la SNCF, une fuite de données simple comme une touche F5
Crédits : stokkete/iStock/Thinkstock

Les fuites de données personnelles se suivent et ne se ressemblent pas. Alors que Labio.fr fait face à une demande de rançon et la publication de bilans médicaux, la SNCF a laissé trainer nom, prénom et numéro de portable de plusieurs de ses clients sur son service de rappel. Pour obtenir une nouvelle salve de données personnelles, il suffisait de rafraichir la page dédiée d'un coup de touche « F5 ».

Hormis pour quelques destinations prisées de l'été (Côte d’Azur, Côte  Basque et Auvergne par exemple) qui bénéficient d'une ouverture des ventes anticipée, la SNCF ne propose ses billets que trois mois à l'avance. Ce sera donc le rush début avril, chez ceux qui veulent profiter de billets à prix doux, en prévision des grandes vacances.

Afin de se rappeler au bon souvenir de ses clients, la SNCF a mis en place un service de rappel bien pratique, proposé par mail à certains d'entre eux, histoire de ne pas rater le coche : « Soyez les premiers à profiter de l'ouverture des ventes d'été pour profiter des meilleurs prix et d'un maximum de disponibilités. Renseignez avant le 29 mars à minuit votre n° de mobile et recevez jeudi 2 avril un rappel SMS directement sur votre téléphone ».

Problème, la page en question était un peu trop bavarde et laissait allégrement fuiter des informations personnelles des usagers. Pire, aucune manipulation plus ou moins complexe n'était requise puisqu'il suffisait de presser la touche « F5 » en série pour voir défiler les informations personnelles des clients. 

La SNCF aura par contre été relativement rapide pour boucher cette brèche de sécurité puisque, d'après nos constatations, plus aucune donnée sensible ne fuite depuis 14h30. Nous avons évidemment contacté la société afin de savoir combien de clients étaient potentiellement touchés, sans retour pour le moment. Nous mettrons à jour cette actualité dès que nous aurons un retour de sa part. 

Merci à Alexandre.

SNCF fuite données

 

68 commentaires
Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 26/03/15 à 15:22:52

WTF ??? C'est l'URL qui moucharde ou c'est carrément la page qui contient des données perso quand on presse F5?

Avatar de gathor Équipe
Avatar de gathorgathor- 26/03/15 à 15:24:22

La page qui donne des infos (cf capture), l'URL reste toujours la même :chinois:

Avatar de linkin623 INpactien
Avatar de linkin623linkin623- 26/03/15 à 15:25:31

J'en reste tout esbaudit...

Avatar de RTDaemons INpactien
Avatar de RTDaemonsRTDaemons- 26/03/15 à 15:26:18

Carrément épique. Ça sent le travail confié au stagiaire... Je ne comprends même pas comment on peut arriver à coder une bug aussi magnifique, même en essayant de faire exprès.

Avatar de gaetan.cambier INpactien
Avatar de gaetan.cambiergaetan.cambier- 26/03/15 à 15:26:20

mauvaise gestion des coockie et on recuperait la dernière entrée à chaque rafraichissement ?

Avatar de anonyme_751eb151a3e6ce065481d43bf0d18298 INpactien

linkin623 a écrit :

J'en reste tout esbaudit...

C'est pas faux :transpi:

Avatar de L'eclaireur INpactien
Avatar de L'eclaireurL'eclaireur- 26/03/15 à 15:27:27

"Hormis pour quelques destinations prisées de l'été (Côte d’Azur, Côte  Basque et Auvergne par exemple)"Mais pourquoi Clermont est si mal desservi si c'est une destination demandée?

 Sinon une fuite aberrante, mais  une fois n'est pas coutume, ils ont été réactifs à corriger la bêtise. 

Édité par L'eclaireur le 26/03/2015 à 15:27
Avatar de rexave INpactien
Avatar de rexaverexave- 26/03/15 à 15:27:48

Nom, prenom et numéro de téléphone ?
attention, un grand site nommé "les pages blanches" laisse fuiter pleins d'information de ce type !

:troll:

Avatar de burnout62 INpactien
Avatar de burnout62burnout62- 26/03/15 à 15:29:28

rexave a écrit :

Nom, prenom et numéro de téléphone ?
attention, un grand site nommé "les pages blanches" laisse fuiter pleins d'information de ce type !

:troll:

Téléphone portable, c'est pas toujours présent dans les pages blanches.

Avatar de tazvld Abonné
Avatar de tazvldtazvld- 26/03/15 à 15:30:57

Heu ? en effet, c'est bizarre...
J'ai l'impression qu'il y a un bout de serveur qui n'était pas thread-safe et une variable d'id sauvage s'est faite violer. C'est pour moi l'explication la plus logique d'un tel bug.

Il n'est plus possible de commenter cette actualité.
Page 1 / 7