Les données de millions de clients canadiens d'Yves Rocher exposées
Suite à des failles de sécurité, un prestataire d'Yves Rocher a exposé les données de plusieurs millions de clients. Ceux-ci sont majoritairement des clients canadiens. Selon les médias français, les vulnérabilités seraient résorbées.
PublicitéC'est devenu un cas d'école, des vulnérabilités chez un prestataire provoquent une exposition des données personnelles des clients. Aujourd'hui, la société Aliznet est sur la sellette. Consultant auprès des groupes de la distribution, la firme française comprend comme client IBM, Salesforce, Sephora, Louboutin, Inwi (un opérateur marocain) et Yves Rocher. Selon vpnMentor, start-up israélienne spécialisée dans les VPN, le groupe de cosmétique a particulièrement été touché par des vulnérabilités chez Aliznet avec un pack de données de 2,5 millions de clients exposé dont la majorité est basée au canada.
Deux chercheurs de vpnMentor, Noam Rotem et Ran Locar, recensent différentes vulnérabilités : une API mal intégrée dans une application réalisée par Aliznet pour Yves Rocher, un serveur Elasticsearch mal sécurisé. Sur ce dernier, la firme de sécurité a accédé à plusieurs parties de la base de données d'Aliznet, comprenant les noms, prénoms, numéro de téléphone, adresse mail, date de naissance, code postal,... La base renseigne aussi sur le « FID Number », que certains pays assignent pour les envois internationaux et les taxes.
Des commandes clients aux données internes
Dans la même veine, les deux chercheurs ont découvert dans cette même base, l'enregistrement de 6 millions de commandes clients. Montant, type de monnaie utilisée, date de livraison, localisation du magasin, le nom et l'identifiant du salarié qui s'est occupé de la commande, ainsi que le numéro client, sont des informations disponibles. Et ce n'est pas fini, des données internes à Yves Rocher ont été exposées comme des statistiques sur le trafic au sein des boutiques, le turn over, le niveau des commandes, sans parler de la description et les ingrédients de 40 000 produits, les prix et les codes de promotion. Du pain béni, si un concurrent tombait sur cet ensemble de données.
Aliznet, interrogé par nos confrères de BFM TV, a expliqué qu'« un événement était organisé chez Yves Rocher il y a quelques jours. Pour l'occasion, on a ouvert un serveur d'intégration pour procéder à des tests, qui n'était pas assez protégé ». Depuis les révélations de la start-up israélienne, les failles ont été colmatées.
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire