Fuite d’informations pour la billetterie web du PSG

Fuite d’informations pour la billetterie web du PSG

Une grande brèche dans la sécurité de la billet­terie en ligne du PSG a été décou­verte il y quelques jours, permettant, à cause d’une erreur technique, d’accéder à une liste de tous les nouveaux abonnés du club de Paris Saint Germain depuis Juillet. Cette liste comportait les adresses mail auxquels les confir­ma­tions d’inscription ont étés automa­ti­quement expédiés. Ces mails ont étés automa­ti­quement de la part d’Alexandre Noé, directeur de la billet­terie. Chaque missive reprenait :

  • L’identité de l’acheteur (Nom et prénom)
  • L’adresse électro­nique (email)
  • Le numéro de membre (Esprit Club)
  • Le numéro de la commande
  • Le mode de paiement (Le numéro de carte bancaire n’apparaissait pas)
  • Le montant de la transaction
  • Le siège et le rang de l’abonnant acheté et l’ensemble des articles acquittés.
La billetterie web du PSG a laisse l'information de ses abonnes disponible a n'importe quel utilisateur
La billet­terie web du PSG a laissé les données de ses abonnés dispo­nibles a n’importe quel utili­sateur

Pour accéder à cette liste, l’internaute avait simplement à effacer une partie de l’URL proposé dans le navigateur, une fois connecté à la partie « identi­fi­cation » du site du PSG. En validant l’URL l’internaute est affiché une liste de quelques centaines d’inscrits noir sur blanc, sans avoir été contrôlé ou vérifié par un mot de passe ou quoique ce soit. ZATAZ.com a été informé de cette fuite et a tout de suite cherché à contacter le presta­taire de service en charge de la billet­terie, Rodrigue Solutions.

Avec ces infor­ma­tions très person­nelles, des personnes malveillantes pourraient les utiliser à mauvais escient pour procéder à ce qu’on appelle le « phishing, » (Hamme­çonage en anglais) qui consiste à duper l’internaute pour lui faire divulguer ses coordonnées bancaires (entre autres). Souvent il s’agit d’offre promo­tion­nelle bidon, d’une page de vérifi­cation falsifiée, ou parfois de courriel person­nalisé qui vous demande de mettre à jour vos coordonnées pour un service dont vous êtes utili­sateur.

Ce n’est pas un cas à part, malheu­reu­sement. Le magazine Capital à prouvé à quel point les fichiers sensibles manquent de protection en procèdent lui-même à exploiter des failles dans la sécurité de grandes entre­prises.

En ce qui concerne la régle­men­tation, l’article 34 de la loi du 6 janvier 1978 modifiée cite que « Le respon­sable du traitement est tenu de prendre toutes précau­tions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endom­magées, ou que des tiers non autorisés y aient accès. » La CNIL, La Commission Nationale de l’Informatique et des Libertés, rappelle que l’oubli du respon­sable d’adopter des mesures de sécurité physiques, logiques et adaptées à la nature des données et aux risques présentées par le traitement peut être sanctionné de 5 ans d’emprisonnement et de 300 000€ d’amende.

Pour les utili­sa­teurs eux, l’accès à leur données peut entrainer des consé­quences bien ennuyeuses, comme par exemple avec le vol d’identité. Cette fuite est une mauvaise nouvelle, à la fois pour la billet­terie du PSG et pour ces fans, qui réflé­chiront peut-être deux fois avant de se réins­crire.

Source : ZATA.com

Partager cet article