Télécom

SFR : une faille permettait à n'importe quel abonné d'accéder aux factures des autres

Image

Selon NextINpact, une faille présente sur la page dédiée à la facturation du site SFR permettait à un abonné d'accéder aux factures des autres clients.

Cette faille aurait été corrigée le 1er mars par le Centre de Cyberdéfense de l'opérateur, à la Direction des systèmes d'informations.

La procédure était assez simple : une modification de l'URL appelant le document correspondant à la facture, composée de numéros, permettait au moins d'accéder aux factures éditées le même jour.

Sur le document accessible de manière anormale, on retrouve le nom de l'abonné, son téléphone, son adresse email, son numéro de contrat, sa date de fin d'engagement, le montant prélevé, ainsi que les options utilisées. De quoi permettre à des petits plaisantins de faire du Social Engineering.

Les Fournisseurs d'Accès à Internet ont, en cas de violation de données à caractère personnel (destruction, perte, vol, etc.), certaines obligations avec la CNIL, qui protège nos données. L'opérateur devrait donc devoir informer officiellement la CNIL, ainsi que les abonnés concernés.

NextINpact indique avoir contacté SFR, qui n'a pas souhaité s'exprimer.

Source : NextINpact

Image

Romain

Administrateur de n9ws.com

Partager cet article

Laisser un commentaire

Vous devez être connecté pour ajouter un commentaire. Cliquez-ici pour vous connecter.


à voir également