Divulgation possible de millions de données d'utilisateur d'une chaîne boulangère américaine

03/04/18 à 12:14 - Mise à jour à 12:13

Source: Datanews

Le site web de la chaîne boulangère américaine Panera a stocké pendant des mois des données sans la moindre protection. Résultat? Des millions de données d'utilisateurs pourraient se trouver dans la nature.

Divulgation possible de millions de données d'utilisateur d'une chaîne boulangère américaine

. © ISTOCK

Selon l'expert en sécurité Brian Krebs, le site web de la chaîne boulangère Panera a divulgué des données d'utilisateur pendant huit mois au moins. En raison d'un bug dans la structure du site, quelqu'un pouvait en se donnant un peu de peine rechercher des noms de client, mais aussi des adresses e-mail, lieux de résidence, numéros de téléphone, dates d'anniversaire et les quatre derniers chiffres des cartes de crédit.

La fuite avait été découverte en août de l'année dernière déjà par le chercheur en sécurité Dylan Houlihan, qui en informa l'entreprise. Huit mois plus tard, le problème n'était toujours pas résolu, selon Krebs. Le site web stockerait les données en texte brut, donc sans aucun cryptage. Il serait en outre possible pour des personnes de l'extérieur d'indexer et d'explorer les données.

Pour sa part, Panera signale dans un premier communiqué que la fuite est limitée. Le problème n'aurait concerné que moins de 10.000 clients. "Panera prend très au sérieux la sécurité des données et a solutionné le problème", déclare John Meister, Chief Information Officer chez Panera, dans le communiqué. "Suite aux rapports d'aujourd'hui à propos d'un possible problème au niveau de notre site web, nous avons désactivé la fonction, afin de résoudre le problème. Nos recherches sont encore en cours, mais il n'existe aucune preuve que des informations relatives à des cartes de paiement ou que de grandes quantités de données aient être évoquées ou dérobées."

Ce communiqué a cependant tout d'un euphémisme. La faille a entre-temps en effet attiré l'attention de la communauté des experts en sécurité, qui a trouvé tout un éventail de bugs sur le site web. Selon Brian Krebs, la solution présentée par Panera ne s'applique pas à d'importantes parties du site web, ce qui fait que "37 millions de données d'utilisateur" demeurent sans protection aucune.

D'autres personnes ont découvert des lacunes dans les parties administratives du site web.

Panera est l'une des plus grandes chaînes boulangères américaines. L'entreprise possède plus de deux mille magasins dans le pays.

Nos partenaires