Une fois de plus, nous devons signaler un grave scandale de données. Cette fois, il s’agit du service de livraison de colis « DPD ». Ici, les données des clients étaient apparemment accessibles de manière tout à fait ouverte via une faille de sécurité sensible.
Grave fuite de données
La faille de sécurité a été révélée par « Bleeping Computer ». Le site d’information américain sur la sécurité informatique a clairement indiqué que les données des clients étaient ouvertement accessibles. La cause était une fuite de données dans l’interface de programmation du système de suivi des expéditions. Dans cette interface, les clients peuvent saisir leur propre code postal pour savoir où se trouve leur colis. Le tout a été découvert par des experts en sécurité de Pen Test Partners. Selon les experts en sécurité informatique, les pirates n’ont eu aucun problème à consulter les données de tous les clients qui utilisent le suivi des expéditions. Le principe du suivi des colis est utilisé exactement de la manière opposée. À l’aide du simple numéro de colis, les cybercriminels auraient pu facilement consulter les adresses et les données des clients.
Capture d'écran avec des données sensibles
Si un pirate avait exploité la faille de sécurité, il aurait pu obtenir une capture d'écran contenant des données extrêmement sensibles. L'adresse du client aurait notamment pu être visualisée sur la capture d'écran. De plus, des tiers auraient pu facilement utiliser le code postal et le code du colis pour savoir quand le colis arriverait à destination. Cependant, le fait que des criminels aient pu consulter les données JSON est particulièrement grave. Cela inclut les données personnelles les plus sensibles telles que l'adresse e-mail, le numéro de téléphone et le nom complet.
DPD le sait depuis septembre 2021
Pour DPD, l’information sur la faille de sécurité n’est pas nouvelle. Comme il sied à des experts en sécurité informatique, « Pen Test Partners » avait déjà informé le fournisseur de colis de ces griefs en septembre dernier. La faille de sécurité aurait été comblée un mois plus tard. On ignore toutefois jusqu’à présent si et dans quelle mesure les pirates ont exploité la fuite de données.