Commentaires

La boutique en ligne CDiscount corrige sa fuite de données clients.

Après notre révélation diffusée en début de semaine (LIRE), reprise entre autre par l''UFC-Que Choisir (voir), CDiscount vient de nous contacter : "Cdiscount a été informé de la découverte de la possibilité d’accès a des données confidentielles par Zataz le 16 avril.

Ce bug a été immédiatement corrigé. La faille permettait de visualiser des commandes client sans identification (selon certaines conditions). Cdiscount tient à préciser que ce bug ne permettait en aucun cas d''accéder par malveillance à l''espace client, ni d''utiliser un compte client "emprunté" pour commander sur le site.

Par ailleurs, les informations bancaires liées aux cartes de crédit clients ne sont pas stockées dans le Système d''Information de la société.

Cdiscount remercie le site qui par sa vigilance a permis de résoudre ce bug et indique que la satisfaction et la sécurité de ces clients ont toujours été placées au centre de sa politique commerciale."

Le courrier est signé par le service communication de la filiale du groupe Casino.

Maintenant que le bug est corrigé, nous pouvons vous l''expliquer. N''importe quel client pouvait découvrir l''achat et les coordonnées d''autres acheteurs en modifiant, par exemple, les lettres inscrites dans l''adresse Internet de sa propre facture. Si l''interêt n''est pas évident, il le devient quand certains acheteurs sont de virulent acheteurs de films pour adultes. Imaginez ce genre de données dans les mains de mauvaises personnes ... (zataz)

Fil des commentaires de ce billet