Une vulnérabilité chez un prestataire d’Yves Rocher a temporairement donné accès à des informations personnelles de clients canadiens du groupe de cosmétiques. La faille a depuis été résorbée, d'après nos informations.......Détails.........
Les failles de sécurité font elles aussi leur rentrée. Et pour les plus grands groupes français, elles peuvent émaner de leurs prestataires.
Le temps de quelques heures, le cabinet de conseil en retail Aliznet, prestataire du groupe Yves Rocher, a rendu par inadvertance les données de 2,5 millions du groupe de cosmétiques accessibles en ligne.
Un intervalle suffisant pour permettre à la société israélienne de cybersécurité vpnMentor de repérer la faille.
La vulnérabilité en question aura touché essentiellement les clients canadiens de l’entreprise, qui avaient commandé des produits en ligne ou créé un compte sur le site marchand.
Parmi les données accessibles en ligne, leurs noms, numéros de téléphone, emails ou dates de naissance.
vpnMentor a par ailleurs, et toujours par le biais de cette faille, pu accéder à une liste de six millions de commandes réalisées sur le site d'Yves Rocher.
"Un événement était organisé chez Yves Rocher il y a quelques jours. Pour l'occasion, on a ouvert un serveur d'intégration pour procéder à des tests, qui n'était pas assez protégé", fait savoir Aliznet auprès de BFM Tech.
"La faille a depuis rapidement été résorbée. Les données accessibles n'étaient pas forcement à jour et assez disparates, bien qu'elles aient pu comporter des échantillons d'informations potentiellement réelles".
L'exposition de ces données, bien que temporaire, comporte des risques. Ces mêmes informations peuvent constituer une mine d'or pour des pirates habitués à les manipuler.
"L'accès aux adresses physiques, aux adresses mail et aux numéros de téléphone peut permettre à des acteurs malveillants de se livrer à des opérations de phishing ou à lancer des rançongiciels", note vpnMentor.
Pour rappel, le phishing, ou hameçonnage, consiste en la tentative de subtiliser des informations personnelles ou bancaires par des moyens détournés, dont l'envoi de faux mails.
Ces opérations peuvent également ouvrir la voie à des rançongiciels, qui verrouilleront les données d'une victime et exigeront le versement d'une rançon pour les récupérer.
Source BFMTV
Vous nous aimez, prouvez-le....