Des membres de vpnMentor, groupe de chercheurs spécialisés dans la cybersécurité, ont découvert une importante fuite de données depuis la plateforme française Option Way. Les clients du site de comparateur de vols ont ainsi été exposés à plusieurs dangers.
« Une erreur de débutant »
Suite à un problème de gestion de base de données, Option Way aura involontairement permis l’accès à environ 100Go de données, selon vpnMentor, soit 1500 clients concernés.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Tandis que l’équipe effectuait des recherches sur un large programme de cartographie web, les « hackers éthiques » ont découvert une faille dans les récupérations de données sur Option Way. Une large part d’entre-elles n’était ni protégée, ni cryptée.
Le PDG de l’entreprise, Mathieu Chauvin, explique qu’en voulant effectuer une migration vers un serveur utilisé par les développeurs du site, un port d’accès n’a pas été fermé. Nicolas Helin, co-fondateur et directeur des opérations d’Option Way, reconnait qu’il s’agit d’une « erreur de débutant ». Le problème est depuis résolu selon eux.
Ce type d’erreur rend non seulement les clients du comparateur de vols, mais également ses employés, vulnérables. Tous sont susceptibles d’être exposés à tout un ensemble de cyber-attaques.
Cette base de données ouverte permettait donc l’accès à l’identité des utilisateurs, aux adresses e-mail, ainsi qu’aux références et horaires de billets.
Ce type d’informations est une mine d’or pour les pirates informatiques qui souhaiteraient utiliser ou revendre ces données. Elles favorisent l’usurpation d’identité, l’extorsion, mais également les cambriolages, les données révélant les dates de départ en vacances des clients, rappelle vpnMentor. Il est donc primordial pour les entreprises d’être extrêmement vigilant concernant leur traitement de base de données.
En négligeant cet aspect, les sociétés peu attentives risquent, bien sûr, de perdre en fiabilité et donc leurs clients, mais elles se rendent également vulnérables face à la concurrence.
L’équipe de vpnMentor explique qu’un manque de protection d’une base de données peut également favoriser l’accès à un ensemble d’informations concernant la perception des règlements, informations normalement confidentielles, et pouvant être reproduites à l’identique par des concurrents.
crédit : vpnMentor
Pour conclure, vpnMentor rappelle que cette fuite de données aurait pu être facilement évitée, si Option Way avait pris soin d’appliquer des principes de précaution de base, comme la mise en place d’un serveur plus sécurisé, d’une meilleure réglementation des accès à la base de données, et la fermeture automatique des systèmes ne nécessitant aucune authentification.