Application Leetchi : l’adresse email des créateurs de cagnottes dévoilée
Une mise à jour défaillante a rendu les données des créateurs de cagnottes accessibles depuis la page. L’entreprise a effectué une réparation de la faille le 20 avril, tout en prévenant de façon progressive les personnes affectées. Les données des 14 millions d’utilisateurs concernées sont les prénoms, noms, dates de naissance, emails et coordonnées GPS.
L’erreur qui a compromis la sécurité
L’exposition des données des utilisateurs était visible dans le code source de la page spécifique à leur cagnotte. Pour trouver ces données, il suffit d’avoir un accès à cette page précise. Concernant les nombreuses cagnottes publiques, la récupération des données se fait en utilisant le moteur de recherche du site. L’accès aux cagnottes privées est plus compliqué du fait qu’ils ne sont pas indexés sur les moteurs de recherche.
La sécurité des pages a été compromise à cause d’une nouvelle disposition du bouton « Je participe ». L’entreprise souligne que la faille survenue dans le code source des cagnottes est liée à l’ajout d’une nouvelle fonctionnalité. Elle aurait rendu les boutons « Je participe » et « Partager » toujours présents en bas de l’écran.
Un changement de technologie du rendu de page est alors nécessaire pour permettre la création de cette nouvelle fonctionnalité. En ajoutant une nouvelle fonction, les nombreux paramètres d’un site sont appelés à changer, notamment ceux liés à la sécurité.
Tous les créateurs de cagnottes sont exposés
Les données exposées concernent les emails, les identités et les coordonnés GPS. Dans de mauvaises mains, ces données permettront de mieux cibler certaines attaques basiques telles que le phishing. Elles peuvent servir dans des arnaques financières si les pirates venaient à connaître les noms de la cagnotte.
Les emails sont particulièrement recherchés en grand nombre sur le marché noir. Étant donné votre identité en ligne, les courriers électroniques permettent de relier toutes sortes d’information sur vous.
Une recherche sur les grandes fuites, comme celle de Facebook, permettra de trouver une liste de données vous concernant. Ils seront utilisés pour une attaque de phishing, mais peuvent aussi servir de porte d’entrée à des attaques plus virulentes.
Les coordonnés GPS peuvent permettre de trouver l’adresse et le lieu de travail de la victime ainsi que ses déplacements. L’entreprise Leetchi n’a pas encore fait d’annonce concernant d’éventuelles activités suspectes en rapport avec la fuite.
Les mesures prises concernant les cagnottes validées
L’entreprise a pris l’initiative de valider les cagnottes de façon manuelle pendant quelques jours. Après avoir découvert la faille et entrepris la réparation, elle a redouté que certains comptes soient compromis. Leetchi a alors pris la précaution de bloquer les dépenses de cagnottes tout en renforçant les mesures de vérification.
Après une vérification par l’équipe de lutte contre la fraude, les demandes de dépense seront validées manuellement au cas par cas. L’équipe n’a pas constaté de dépense frauduleuse de cagnotte, mais les délais de remises ont pris du retard.
Leetchi assure que les fonds collectés, les coordonnées bancaires et les mots de passe ne sont pas affectés par la fuite. L’entreprise a suivi les procédures légales prévues par le « Règlement Général sur la Protection des Données ». Elle a ouvert un dossier auprès de la CNIL et averti les personnes concernées comme prévu dans le texte.
