Bouygues Telecom corrige une fuite de données : informé par le protocole d’alerte mis en place par le site ZATAZ spécialisé en sécurité informatique, l’opérateur a corrigé une faille qui permettait d’accéder à des centaines de milliers de contrats de service clients en quelques clics de souris.
C’est grâce à un de ses lecteurs que le site ZATAZ a pu alerter Bouygues Telecom d’une faille de sécurité. Plusieurs centaines de milliers de contrats de services clients de Bouygues Telecom étaient accessibles en ligne très facilement. En effet, lorsqu’un client de l’opérateur souhaitait récupérer un document administratif concernant son contrat, le portail de Bouygues Telecom générait un lien vers un fichier PDF. Dans ce dernier, on retrouvait des informations comme le nom, prénom, adresse mail, adresse postale, date de naissance, caractéristique de la ligne téléphonique, numéro de téléphone, relevé d’identité etc.
Or, ce lien générant le fichier PDF était constitué du numéro du document généré. Il suffisait donc de modifier ce dernier pour accéder à un autre contrat et donc aux données personnelles qu’il contenait. Il était donc très facile pour un pirate de créer un programme pour modifier automatiquement ce numéro et donc de récupérer des données de centaines de milliers de contrats.
Le site ZATAZ précise qu’aucunes données bancaires n’étaient accessibles par cette faille.
L’opérateur a donc rapidement corrigé cette faille et aucun pirate n’a pu exploiter cette dernière avant l’alerte.
Source : zataz.com
Pour signaler une erreur dans l’article, surlignez le passage en question et pressez les touches Ctrl+Entrée de votre clavier.