Sécurité informatique : importante fuite de données chez DPD

Sécurité informatique : importante fuite de données chez DPD

Et encore une fois, nous devons signaler un scandale de données tangibles. Cette fois, le service de colis « DPD » est concerné. Apparemment, les données des clients étaient ouvertement accessibles via une faille de sécurité sensible.

Grave violation de données

La vulnérabilité est devenue connue grâce à « Bleeping Computer ». Le site d’information américain sur la sécurité informatique a clairement indiqué que les données des clients étaient ouvertement visibles. La raison en était une fuite de données dans l’interface de programmation pour le suivi des expéditions. Les clients peuvent l’utiliser pour savoir où se trouve leur colis en saisissant leur propre code postal. Le tout a été découvert par des experts en sécurité de «Pen Test Partners». Selon les experts en sécurité informatique, il était probablement possible pour les pirates de visualiser sans problème les données de tous les clients qui utilisent le suivi des expéditions. Le principe du suivi des colis est utilisé exactement à l’inverse. Avec l’aide du simple numéro de colis, les cybercriminels auraient pu facilement voir les adresses et les données des clients.

Capture d’écran avec des données sensibles

Si un pirate avait exploité la vulnérabilité, il aurait obtenu une capture d’écran avec des données extrêmement sensibles. Sur celui-ci on aurait pu voir, entre autres, l’adresse du client. De plus, des tiers auraient pu facilement vérifier quand le colis est arrivé à destination à l’aide du code postal et du code colis. Cependant, le fait que des criminels aient pu consulter les données dites JSON pèse particulièrement lourd. Cela inclut les données personnelles sensibles telles que l’adresse e-mail, le numéro de téléphone et le nom complet.

DPD sait depuis septembre 2021

L’information sur la faille de sécurité n’est pas nouvelle pour DPD lui-même. Comme il sied aux experts en sécurité informatique, « Pen Test Partners » a informé le fournisseur de colis des abus en septembre de l’année dernière. Une fermeture correspondante de l’écart de sécurité aurait eu lieu un mois plus tard. Jusqu’à présent, cependant, on ne sait pas si et dans quelle mesure les pirates ont exploité la fuite de données.