Fuite d’informations pour la billetterie web du PSG

Fuite d’informations pour la billetterie web du PSG

Une grande brèche dans la sécurité de la billetterie en ligne du PSG a été découverte il y quelques jours, permettant, à cause d’une erreur technique, d’accéder à une liste de tous les nouveaux abonnés du club de Paris Saint Germain depuis Juillet. Cette liste comportait les adresses mail auxquels les confirmations d’inscription ont étés automatiquement expédiés. Ces mails ont étés automatiquement de la part d’Alexandre Noé, directeur de la billetterie. Chaque missive reprenait :

  • L’identité de l’acheteur (Nom et prénom)
  • L’adresse électronique (email)
  • Le numéro de membre (Esprit Club)
  • Le numéro de la commande
  • Le mode de paiement (Le numéro de carte bancaire n’apparaissait pas)
  • Le montant de la transaction
  • Le siège et le rang de l’abonnant acheté et l’ensemble des articles acquittés.
La billetterie web du PSG a laisse l'information de ses abonnes disponible a n'importe quel utilisateur
La billetterie web du PSG a laissé les données de ses abonnés disponibles a n’importe quel utilisateur

Pour accéder à cette liste, l’internaute avait simplement à effacer une partie de l’URL proposé dans le navigateur, une fois connecté à la partie « identification » du site du PSG. En validant l’URL l’internaute est affiché une liste de quelques centaines d’inscrits noir sur blanc, sans avoir été contrôlé ou vérifié par un mot de passe ou quoique ce soit. ZATAZ.com a été informé de cette fuite et a tout de suite cherché à contacter le prestataire de service en charge de la billetterie, Rodrigue Solutions.

Avec ces informations très personnelles, des personnes malveillantes pourraient les utiliser à mauvais escient pour procéder à ce qu’on appelle le « phishing, » (Hammeçonage en anglais) qui consiste à duper l’internaute pour lui faire divulguer ses coordonnées bancaires (entre autres). Souvent il s’agit d’offre promotionnelle bidon, d’une page de vérification falsifiée, ou parfois de courriel personnalisé qui vous demande de mettre à jour vos coordonnées pour un service dont vous êtes utilisateur.

Ce n’est pas un cas à part, malheureusement. Le magazine Capital à prouvé à quel point les fichiers sensibles manquent de protection en procèdent lui-même à exploiter des failles dans la sécurité de grandes entreprises.

En ce qui concerne la réglementation, l’article 34 de la loi du 6 janvier 1978 modifiée cite que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » La CNIL, La Commission Nationale de l’Informatique et des Libertés, rappelle que l’oubli du responsable d’adopter des mesures de sécurité physiques, logiques et adaptées à la nature des données et aux risques présentées par le traitement peut être sanctionné de 5 ans d’emprisonnement et de 300 000€ d’amende.

Pour les utilisateurs eux, l’accès à leur données peut entrainer des conséquences bien ennuyeuses, comme par exemple avec le vol d’identité. Cette fuite est une mauvaise nouvelle, à la fois pour la billetterie du PSG et pour ces fans, qui réfléchiront peut-être deux fois avant de se réinscrire.

Source: ZATA.com

Partager cet article