Une chaîne de boulangeries lambine en réaction à la réception d'un rapport de faille affectant son site web
Et expose des millions d'utilisateurs

Le , par Patrick Ruiz, Chroniqueur Actualités
Le site web de la chaîne américaine de boulangeries Panera Bread a laissé les données des utilisateurs sans la moindre protection pendant des mois. Résultat ? Le chercheur en sécurité Dylan Houlilan a découvert le pot aux roses, ce qui laisse penser que des tiers malveillants pourraient également être en possession desdites informations.

En substance, cela fait huit mois au moins que le site web de la chaîne de boulangeries situées en Amérique expose les données de ses utilisateurs. Le rapport de vulnérabilité adressé à Panera Bread par le chercheur remonte au mois d’août 2017, mais l’intervention de ce dernier n’a pas porté ses fruits puisque les contenus des correspondances, initialement jugés « douteux » par Panera Bread, n’ont pas été exploités. Contacté par Dylan Houlilan hier, Brian Krebs est monté au créneau le même jour pour communiquer de façon plus large sur la faille, un souci avec la structure du site qui permet d’accéder à des informations en principe confidentielles à partir d’URL vulnérables.

Illustration avec un fichier JSON dont le contenu révèle que les données sont stockées en clair. Ainsi, noms de client, adresses e-mail, lieux de résidence, numéros de téléphone, dates d'anniversaire et chiffres des cartes de crédit des utilisateurs du site web pourraient être entre les mains d’acteurs malveillants. De quoi faire sucer les doigts à un pirate à même de constater, comme le précisent Dylan Houlilan et Brian Krebs, qu’il suffit d’effectuer un incrément sur le nombre en bout d’URL – l’identifiant client – pour passer d’un compte à l’autre.


Faisant suite à la publication de Brian Krebs, Panera Bread a passé son site en mode maintenance et a corrigé la vulnérabilité. C’est du moins ce qu’a déclaré John Meister, Chief Information Officer chez Panera dans les colonnes de Fox Business. « Suite aux rapports d'aujourd'hui à propos d'un possible problème au niveau de notre site web, nous avons désactivé la fonction, afin de résoudre le problème. Nos recherches sont encore en cours, mais il n'existe aucune preuve que des informations relatives à des cartes de paiement ou que de grandes quantités de données aient pu être retrouvées ou dérobées », a-t-il précisé.

D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients. Brian Krebs a fait une nouvelle sortie pour rejeter cette affirmation et a posté d’autres liens à problèmes. En s’appuyant sur des données fournies par Hold Security, une autre firme de sécurité lancée dans les investigations, Brian Krebs a porté le chiffre à 37 millions d’utilisateurs.


À date, le site web de la chaîne de boulangeries est inaccessible ; une posture aux antipodes de l’assurance affichée lors du premier contact avec Dylan Houlilan : « mon équipe a reçu vos courriels qui nous ont paru très suspects, de l’ordre de l’arnaque ; ils ont donc été ignorés. »

Les organisations sont en principe pyramidales et dans des cas comme celui-ci on ne peut que se retourner vers l’individu au sommet pour demander des comptes. Dans le cas Parena, la personne indiquée est Mike Gustavision, directeur de la sécurité des systèmes d’information, un ancien d’Equifax entre 2009 et 2013. Suivez le regard…

Sources

Billet Houlilan

Krebsonsecurity

Et vous ?

Que pensez-vous de cet autre cas de fuite massive de données ?

À quel degré doit-on engager la responsabilité du directeur de la sécurité des systèmes d’information dans ce cas ?

Voir aussi

Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de CoderInTheDark CoderInTheDark - Membre éprouvé https://www.developpez.com
le 04/04/2018 à 18:57
C'est sur le RSSI à des supers références

Le pire dans cette histoire c'est le dénie
Avatar de bytecode bytecode - Membre actif https://www.developpez.com
le 04/04/2018 à 19:04
C'est bien que des gens est encore la foi pour partager des failles sans que ça se retourne contre eux
Avatar de Lyons Lyons - Membre éclairé https://www.developpez.com
le 04/04/2018 à 21:51
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
Avatar de bytecode bytecode - Membre actif https://www.developpez.com
le 05/04/2018 à 1:59
Citation Envoyé par Lyons Voir le message
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
De nos jours s'inscrire sur un site pour passer commande et bénéficier de réductions me semble pas illogique.
Avatar de - https://www.developpez.com
le 05/04/2018 à 6:26
C'est pratique pour les abonnements, le client n'a plus à retaper le code qui est strictement le même jusqu'à expiration.
Comme cela c'est le site lui même qui donne les infos à sa banque...

Les infos sont stockés sans sécurité... Surement le meilleur choix si il doit y avoir " migration/interopérabilité ".

Entre nous, à voir les numéros cartes de l'image, il y a comme des * de mer.
Avatar de Hizin Hizin - Modérateur https://www.developpez.com
le 05/04/2018 à 10:24
Ce genre de déclaration me donne la nausée :
D’après John Meister, le problème n’aurait concerné qu’une dizaine de milliers de clients.
"Nous avons plusieurs millions d'utilisateurs, une dizaine de millier seulement seraient concernés"...

Qu'il se fasse pirater sa carte bancaire et vive la tempête que cela cause dans une vie. À force de vivre derrière des abstractions, on oublie les vies qu'elles représentent.
Avatar de Daïmanu Daïmanu - Membre chevronné https://www.developpez.com
le 05/04/2018 à 10:36
Citation Envoyé par Lyons Voir le message
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
J'ai déjà été client d'une boulangerie très côtoyée, et l'établissement a eu l'idée de pouvoir faire des commandes en lignes via un formulaire en ligne avec inscription obligatoire. Crois moi c'était très pratique quand on ne doit pas faire la file de 20 minutes tous les jours juste pour le repas du midi.

C'est une boulangerie indépendante, elle ne fait pas partie d'une chaîne ou autre. Donc ça me surprendrait pas si elle utilise un prestataire peu chère et de qualité douteuse pour déléguer ce genre de site web. Mais là le scandale touche toute un chaîne, ce qui est vraiment surprenant (et aberrant) !
Avatar de benjani13 benjani13 - Membre chevronné https://www.developpez.com
le 05/04/2018 à 11:31
Citation Envoyé par Hizin Voir le message
Ce genre de déclaration me donne la nausée :

"Nous avons plusieurs millions d'utilisateurs, une dizaine de millier seulement seraient concernés"...

Qu'il se fasse pirater sa carte bancaire et vive la tempête que cela cause dans une vie. À force de vivre derrière des abstractions, on oublie les vies qu'elles représentent.
Premièrement comme tu le dis c'est assez méprisant pour les utilisateurs touchés. Et deuxièmement c'est surement un mensonge. Cette excuse est utilisé à tout le coups ("oui y a une brêche, mais elle n'a impacté qu'une petite partie de nos utilisateurs" et je pense que dans 90% des cas tous les utilisateurs sont dans la même base, y a une seule infra, donc si un seul utilisateur peut être touché, tous peuvent l'être aussi.
Avatar de setni setni - Membre régulier https://www.developpez.com
le 07/04/2018 à 9:36
Ca me rappelle une sale histoire qui m'est arrivé.

Il y a 3 ans (c'est prescrit maintenant ), je postule dans une boite connue, présente à Paris, Amsterdam et SF. Boite se présentant comme une "startup" (avec des vidéos d'apéro cool et de hackathon).

Je suis refoulé.
Il y avait sur le site, un Excel avec la liste de tous leur employé (email et n° de tel.) Accessible en callant les dossiers de leur BO. Il m'a fallu 2 heures et un script de scraping pour récupérer le fichier.

Je l'ai envoyé au RH + CEO France + CTO. Dans le message: Je leur expliquerais mon mode opératoire en échange d'une reconsidération de ma candidature + entretien physique.

Voici la très sympathique réponse que j'ai reçu (par SMS depuis le tel du CEO France) :

Monsieur,

En aucun cas, votre chantage ne trouvera écho auprès de nous.
Sachez que les pratiques de piratages dont vous vous vantez d'avoir la maitrise sont combattues avec la plus grande fermeté.
Je vous conseille de lire attentivement l'article 323-1 du Code pénal.
Une plainte sera déposée contre vous si ces données sont rendues publiques.

Toutes candidatures ultérieur de votre part sera immédiatement rejetée.

Bien à vous
Laissons ces boites se vautrer seules.
Avatar de griggione griggione - Membre averti https://www.developpez.com
le 13/04/2018 à 8:12
Ce qui m'étonne le plus dans cette histoire c'est que les gens ressentent le besoin de s'inscrire sur le site d'une boulangerie
+1
Contacter le responsable de la rubrique Accueil