Le média israélien spécialisé en cybersécurité VPN Mentor a réussi à récupérer 100 Go d’informations confidentielles provenant du site de voyages Option Way. « Nous leur avons demandé de détruire ces informations, souligne Mathieu Chauvin, président et délégué à la protection des données.......Détails.......
VPN Mentor joue le rôle de lanceur d’alertes sur les failles de sécurité, il n’a pas vocation à utiliser les données de manière frauduleuse.
Son équipe nous a donc prévenus, avant même de divulguer (sur son site) l’existence de la faille de sécurité. Nous avons aussitôt identifié et résolu le problème. »
Des logs sur 15 jours
Plus précisément, quelles données ont été potentiellement accessibles à tous ? Dans son rapport , VPN Mentor évoque des datas sensibles : noms, dates de naissance, adresses email et postales, numéros de téléphone, dates et destination de voyage.
Cette brèche a donc exposé Option Way à « d’éventuels piratages, et les utilisateurs d’Option Way à de nombreuses fraudes potentielles », assure le média dans son rapport.
VPN Mentor indique aussi avoir eu accès à la carte bancaire de l’OTA, ce que Mathieu Chauvin nie formellement.
100 Go d’informations, la quantité semble importante. « Ce sont de gros volumes d’informations, puisqu’il s’agit de logs, soit les historiques d’information sur 15 jours de réservation. »
La faille de sécurité concernait la sécurisation du système d’indexation des logs, qui n’a pas été correctement mise à jour le 24 juillet 2019, explique Option Way.
« Seul ce serveur, avec 15 jours d’historique, a été accessible. La brèche n’a pas touché le reste du système d’information de production et la base de données. » Les partenaires d’Option Way n’ont pas été impactés non plus, assure le président.
Une erreur humaine, qui « ne doit jamais se reproduire »
D’où vient la brèche ? « C’était un port mal paramétré, une erreur humaine, à l’occasion d’une migration. »
La « porte d’accès » au serveur n’avait pas été fermée.
Après avoir résolu le problème, Option Way a appliqué la réglementation RGPD, et adressé une notification de violation de données à la CNIL.
L’agence en ligne a, depuis, renforcé ses mesures de sécurité, et s’engage à procéder à un audit de sécurité informatique, pour toujours mieux protéger ses clients français, mais aussi étrangers.
« Cet événement ne doit jamais se reproduire », ajoute Mathieu Chauvin. C’est important pour la santé technologique et financière de l’entreprise, mais aussi pour son image.
Source L'echo touristique
Vous nous aimez, prouvez-le....