Business

Les données de millions de clients canadiens d'Yves Rocher exposées

Les données de millions de clients canadiens d'Yves Rocher exposées
Le groupe Rocher est présent dans 117 pays (ici : magasin Yves Rocher de Créteil)

Suite à des failles de sécurité, un prestataire d'Yves Rocher a exposé les données de plusieurs millions de clients. Ceux-ci sont majoritairement des clients canadiens. Selon les médias français, les vulnérabilités seraient résorbées.

PublicitéC'est devenu un cas d'école, des vulnérabilités chez un prestataire provoquent une exposition des données personnelles des clients. Aujourd'hui, la société Aliznet est sur la sellette. Consultant auprès des groupes de la distribution, la firme française comprend comme client IBM, Salesforce, Sephora, Louboutin, Inwi (un opérateur marocain) et Yves Rocher. Selon vpnMentor, start-up israélienne spécialisée dans les VPN, le groupe de cosmétique a particulièrement été touché par des vulnérabilités chez Aliznet avec un pack de données de 2,5 millions de clients exposé dont la majorité est basée au canada.

Deux chercheurs de vpnMentor, Noam Rotem et Ran Locar, recensent différentes vulnérabilités : une API mal intégrée dans une application réalisée par Aliznet pour Yves Rocher, un serveur Elasticsearch mal sécurisé. Sur ce dernier, la firme de sécurité a accédé à plusieurs parties de la base de données d'Aliznet, comprenant les noms, prénoms, numéro de téléphone, adresse mail, date de naissance, code postal,... La base renseigne aussi sur le « FID Number », que certains pays assignent pour les envois internationaux et les taxes.

Des commandes clients aux données internes

Dans la même veine, les deux chercheurs ont découvert dans cette même base, l'enregistrement de 6 millions de commandes clients. Montant, type de monnaie utilisée, date de livraison, localisation du magasin, le nom et l'identifiant du salarié qui s'est occupé de la commande, ainsi que le numéro client, sont des informations disponibles. Et ce n'est pas fini, des données internes à Yves Rocher ont été exposées comme des statistiques sur le trafic au sein des boutiques, le turn over, le niveau des commandes, sans parler de la description et les ingrédients de 40 000 produits, les prix et les codes de promotion. Du pain béni, si un concurrent tombait sur cet ensemble de données.

Aliznet, interrogé par nos confrères de BFM TV, a expliqué qu'« un événement était organisé chez Yves Rocher il y a quelques jours. Pour l'occasion, on a ouvert un serveur d'intégration pour procéder à des tests, qui n'était pas assez protégé ». Depuis les révélations de la start-up israélienne, les failles ont été colmatées.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Une attestation d’assurance en responsabilité professionnelle est-elle exigée des fournisseurs dont la défaillance serait préjudiciable ?