DARTY corrige une fuite de données clients
La Commission Informatique et des Libertés fait corriger une fuite de données concernant le spécialiste de la vente d’électroménager Darty.
Fuite de données ? Plusieurs lecteurs de ZATAZ m’ont alerté d’un courriel reçu, le 13 mars, envoyé par le spécialiste de la vente d’électroménager Darty. Ce message, que l’ensemble des clients ne semble pas avoir reçu, indique que l’enseigne « Dans le cadre de [son] process de sécurité et afin d’éviter tout accès frauduleux à votre compte, nous avons donc pris l’initiative de désactiver votre mot de passe sur notre site www.darty.com. Pour avoir à nouveau accès à votre compte, il vous suffit de vous rendre sur www.darty.com et de modifier votre mot de passe en cliquant sur le lien « se connecter », puis sur « mot de passe oublié« . Une demande très étonnante. Ce genre de courriel concerne, la plupart du temps, un accès frauduleux à une base de données ou à la mise en place d’un chiffrement, ce qui impose aux clients de créer de nouveau un mot de passe… ou alors un phishing !
Problème de sécurité chez Darty ? pic.twitter.com/RepCbd7tvA
— keuvun (@keuvun) March 13, 2017
Darty corrige une fuite de données
Il se peut aussi que cela soit dû à la suite d’un protocole d’alerte ZATAZ. Comme vous le savez, je collabore avec la grande dame qu’est la Commission Informatique et Liberté, la CNIL, afin de faire comprendre aux entreprises qui ont des fuites de données clients qu’il va falloir être beaucoup plus sérieux avant mai 2018. Après cette date, la RGPD va entrer en action. Dès la fin mai 2018, les alertes « douces » n’auront plus de raison d’être. Les risques étant pour les sociétés « fuiteuses », en plus d’avoir perdu les données de leurs clients, de se retrouver avec une amende pouvant atteindre 4% de leur chiffre d’affaire mondiale [ou 20 millions d’euros] et de contacter chaque client impacté par un recommandé. Bref, le Règlement général sur la protection des données, c’est dans 1 an !
Pour le cas Darty, j’ai pu faire corriger une fuite de données concernant le système de gestion des messages envoyés par les clients au Service après-vente via le protocole d’alerte zataz n’270220171950.
Des milliers de messages étaient accessibles, très simplement, en modifiant l’url de la requête. Il suffisait de changer le numéro client pour accéder aux autres questions, et réponses de Darty. J’ai pu constater jusqu’à 911.004 questions/réponses. Pour les clients, aucunes données bancaires n’étaient accessibles, mais des adresses mails, des numéros de téléphone et des identités [noms, prénoms] et dans certains cas le numéro de la carte client. Des informations largement suffisantes pour un escroc souhaitant cibler ses victimes. Heureusement, la CNIL a mis fin à cette fuite.
Bonjour,
J’ai été destinataire d’un tel mail.
Toutefois, le hasard a fait qu’une semaine avant, mes coordonnées bancaires ont fuité (j’ai eu des paiements frauduleux par internet) ET mes coordonnées postales ont été utilisées dans une escroquerie par internet (par curiosité, j’ai vérifié le libellé utilisé par les escrocs et celui correspond à celui de mes factures DARTY).
Peut-être est-ce un mauvais concours de circonstance. Mais j’ai quelques doutes..