Fuite de données personnelles aux Galeries Lafayette

Fuite de données personnelles aux Galeries Lafayette

Ça n'arrive pas qu'aux autres

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

26/01/2015 2 minutes
22

Fuite de données personnelles aux Galeries Lafayette

La semaine dernière, un des partenaires des Galeries Lafayette laissait fuiter des données personnelles de certains clients : numéro et montant de la commande, ainsi qu'adresse de livraison étaient par exemple accessibles à tout le monde. Suite à notre signalement, le souci a été corrigé. Explications.

Les fuites de données sont malheureusement monnaie courante sur Internet, bien que certaines soient plus importantes que d'autres, notamment lorsqu'il est question d'emails et de mots de passe... pas toujours chiffrés. Comme nous l'a signalé un lecteur, que nous remercions au passage, les Galeries Lafayette en ont récemment fait les frais, via un de ses partenaires : Arvato Bertelsmann, une société spécialisée dans la gestion de relation client, le marketing et la logistique.

C'est justement ce dernier point que le problème a été identifié. En effet, lors d'une commande, les Galeries Lafayette fournissaient un lien permettant de suivre son colis. Cette URL se terminait par une série de chiffres du genre « ?c=HYB10xxxxx ». Il suffit alors de changer la fin pour suivre le colis d'autres clients, sans avoir besoin de s'identifier.

Galeries LafayetteGaleries Lafayette

On y trouvait des informations sur l'adresse de livraison, le numéro de client de commande et de colis, le type d'envoi, la date de validation ainsi que le montant total de la commande. Il n'était donc pas question d'identifiants de compte avec email et mot de passe. Entre de mauvaises mains, ce genre d'informations pourrait très bien servir à mettre en place une campagne de phishing, mais aussi pour tenter de récupérer des colis de commandes dépassant une certaine valeur marchande.

Bien évidemment dès la découverte mardi de cette brèche, nous avions immédiatement contacté les Galeries Lafayette afin de leur donner tous les détails. Sans réponse de la part du revendeur, nous avons finalement remarqué que la brèche était bouchée vendredi dernier.

Finalement, suite à une relance de notre part, nous avons été contactés samedi midi afin de nous confirmer que la fuite avait bien été colmatée et que des mesures seraient prises afin d'éviter que cela ne se reproduise. Il nous a également précisé que des vérifications avaient lieu de manière régulière, mais cela ne semble malheureusement pas suffisant.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (22)


Ils vont faire comme la carte musique jeune ? <img data-src=" />


Est-ce qu’ils ont dit merci au moins ?








Gab& a écrit :



Est-ce qu’ils ont dit merci au moins ?





C’est la 1ère question que je me suis posé quand j’ai vu qu’ils n’ont pas répondu…



Prochaine étape : NImpact accusé d’intrusion dans un système informatique<img data-src=" />


J’ai remarqué un problème très similaire chez un autre vendeur mais n’ai

jamais osé le leur signaler, de crainte justement d’être accusé de ce

genre de chose….


Et le lecteur aussi.


Bravo au lecteur et à NXI pour les avoir informés. J’espère aussi qu’ils vous ont au moins remercié ..



Ca me fait penser à un site internet qui lorsque l’on demandait à reset son mot de passe, ils le&nbsp;réinitialisaient&nbsp;en mettant le&nbsp;timestamp courant (à la seconde).

&nbsp;Du coup il était relativement “facile” de faire un reset pour n’importe quel compte, tester 23 timestamps et rentrer sur le compte..&nbsp;<img data-src=" />








Constance a écrit :



J’ai remarqué un problème très similaire chez un autre vendeur mais n’ai

jamais osé le leur signaler, de crainte justement d’être accusé de ce

genre de chose….









_Quentin_ a écrit :



Bravo au lecteur et à NXI pour les avoir informés. J’espère aussi qu’ils vous ont au moins remercié ..



Ca me fait penser à un site internet qui lorsque l’on demandait à reset son mot de passe, ils le&nbsp;réinitialisaient&nbsp;en mettant le&nbsp;timestamp courant (à la seconde).

&nbsp;Du coup il était relativement “facile” de faire un reset pour n’importe quel compte, tester 23 timestamps et rentrer sur le compte..&nbsp;<img data-src=" />





Dans les deux cas, n’hésitez pas à nous faire passer l’info qu’on puisse vérifier et informer la société afin que la brèche soit colmatée <img data-src=" />&nbsp;&nbsp;



Vous n’avez rien compris, ils passent juste les espaces clients en open data <img data-src=" />


Merci à vous et au lecteur donc <img data-src=" />


<img data-src=" />


vous n’avez pas peur ? après toutes les affaires perdu par des personnes ayant trouvé ce genre de failles, genre kitestoi etc …&nbsp;



et la protection des sources en cas de saisi de serveur chez vous ? &nbsp;Vous etes &nbsp;considéré comme journalistes ? dans le sens noble du terme (nan je déconne là)


On trouve tout au BHV aux Galeries Lafayette.








Constance a écrit :



J’ai remarqué un problème très similaire chez un autre vendeur mais n’ai



 jamais osé le leur signaler, de crainte justement d'être accusé de ce       

genre de chose....








Pour avoir remonté des failles sur des sites marchands plusieurs fois (dont certains assez important), si tu y mets la forme y'a pas vraiment de raison que ça se passe mal. Il faut bien préciser que tu n'attends rien en retour, que tu fais cette démarche parce que tu te sers du site et que tu ne veux pas que tes données soient piratées, etc.     





La moins bonne expérience que j’ai eu, c’est un petit site qui avait une injection SQL qui permettait de récupérer les informations de tous les clients (moins de 2000 de mémoire) : remonté une fois, réponse : “merci beaucoup on corrige !‘. 3 mois plus tard la faille était toujours là, nouveau mail : “merci beaucoup on corrige, moi j’y connais rien mais je remonte à mon webmasteur”. Idem plusieurs fois. Au bout de 2 ans, ce qui devait arriver arriva : site piraté, données des clients publiées sur Internet. J’ai envoyé un mail pour les prévenir mais pas de réponse. Ça me fait penser que j’ai pas été voir si la faille était toujours présente :)



Profitez-en pour leur dire qu’en bas, “Veuillez visiter le site web d’ Kiala FR” et “Veuillez visiter le site web d’ La Poste” ça fait moche <img data-src=" />








woodcutter a écrit :



+1



Aux Galerie Lafaille <img data-src=" />


Je les avait contacté directement, sans réponse, au bout de 6 mois j’ai contacté un blogger connu qui les a contacté, et la “faille” a été corrigée sous 7 jours comme par magie…



La prochaine fois que je me retrouve face à ce genre de problème (ça arrive bien une à deux fois par an ..), je vous contacterai&nbsp;<img data-src=" />








sitesref a écrit :



Aux Galerie Lafaille <img data-src=" />





<img data-src=" /> <img data-src=" /><img data-src=" />



En periode de solde la premiere pour les clients et la deuxième demarque pour les pirates..<img data-src=" />

Astucieux les Galeries Lafayette..<img data-src=" />



<img data-src=" />


C’est un complot de Tampax pour promouvoir ses ventes…&nbsp;<img data-src=" />