SFR : une faille permettait à n'importe quel abonné d'accéder aux factures des autres

Publiée par romain, 03/03/2017 17:19 (3994 lectures) dans SFR / Altice

Selon NextINpact, une faille présente sur la page dédiée à la facturation du site SFR permettait à un abonné d'accéder aux factures des autres clients.

Cette faille aurait été corrigée le 1er mars par le Centre de Cyberdéfense de l'opérateur, à la Direction des systèmes d'informations.

La procédure était assez simple : une modification de l'URL appelant le document correspondant à la facture, composée de numéros, permettait au moins d'accéder aux factures éditées le même jour.

Sur le document accessible de manière anormale, on retrouve le nom de l'abonné, son téléphone, son adresse email, son numéro de contrat, sa date de fin d'engagement, le montant prélevé, ainsi que les options utilisées. De quoi permettre à des petits plaisantins de faire du Social Engineering.

Les Fournisseurs d'Accès à Internet ont, en cas de violation de données à caractère personnel (destruction, perte, vol, etc.), certaines obligations avec la CNIL, qui protège nos données. L'opérateur devrait donc devoir informer officiellement la CNIL, ainsi que les abonnés concernés.

NextINpact indique avoir contacté SFR, qui n'a pas souhaité s'exprimer.

Source : NextINpact

Derniers commentaires

rotoxi, le 08/03/2017 10:01Zataz... quel horreur ce site En attendant, pour ma pars ce genre de chose ne m'est arrivé que chez sfr...
manuel-le-vieux, le 06/03/2017 22:43Je suis très critique envers SFR sur certains sujets (dont évidemment le service client) mais en matière de sécurité informatique que celui qui n'a jamais péché lui jette la première pierre. Les entreprises françaises sont de manière générale mal sensibilisées aux problèmes de sécurité informatique. Pour ceux que ce sujet intéressent il suffit d'aller par exemple sur le site de Zataz : http://www.zataz.com" target="_blank">http://www.zataz.com
jp86fr, le 06/03/2017 17:17SFR/NUMERICABLE peut être critiquable sur de nombreux aspects mais sur ce genre de bug, il faut être honnête, cela pourrait arriver à n'importe quel FAI. Ce qui est important, à mon avis, c'est le temps de réaction pour corriger la faille dès que le pb est connu.
grocanar, le 06/03/2017 13:06c'est openbar
pakonue, le 04/03/2017 10:55Ca donne envie d'aller chez SFR (ou d'y rester) . Elle ne concernait que ceux ayant SFR comme FAI ou ceux ayant seulement la ligne portable étaient aussi concernés ?
Stealth, le 04/03/2017 08:23Idem pour moi avec les numéros 01 80 97 85 68 qui ont appelé ou qui appellent régulièrement au moins une fois par jour mes numéros de fixe ou/et de mobile. Heureusement, le « Centre de cyberdéfense de la Direction des systèmes d’information » de SFR :lol: veille. On se sent déjà mieux. :lol:
rotoxi, le 03/03/2017 23:33Ce qui explique très certainement les liens phising mail que je reçois depuis un certain temps(qui inclut mon nom prénom adresse numéro contrat) ainsi que les appels commençant par 01xxxx suspect qui me harceler... Envoyé de mon Honor 5C en utilisant Tapatalk
Continuer sur le forum...
OVH
© Copyright n9ws 2004-2017 • Design par Fritzerboy, Intégration & Code par N. Vannier
n9ws est un site communautaire et n'engage pas la responsabilité des différents opérateurs.
Cliquez ici pour vous opposer aux cookies de mesure d'audience de Google