Faille corrigée pour le plugin WordPress YITH WooCommerce PDF
Vous avez une boutique sous WordPress ? Vous utilisez le plugin YITH WooCommerce PDF ? Un conseil, mettez à jour rapidement ce dernier.
Fuite corrigée pour le plugin WordPress YITH WooCommerce PDF ! Il y a quelques jours, j’alertais via un protocole d’alerte ZATAZ une société basée en Provence, spécialisée dans la commercialisation de minéraux. Le site web de l’entreprise avait des fuites. Il était possible d’accéder à de nombreuses informations clients. Des factures avec les contenus que l’on peut trouver dans ce genre de document : noms, adresses postales, mails, téléphones…
Le contact avec cette PME a été particulièrement difficile, l’interlocuteur indiquant qu’il interdisait la publication « des informations sensibles qui peuvent être rattachées à notre nom ou d’autre éléments permettant de savoir qu’il s’agisse de notre enseigne tel que des éléments graphiques ou des codes permettant d’identifier notre entreprise. » avant même de recevoir les informations pour l’aider !
Autant dire que lui expliquer qu’il laissait lui-même fuiter des données permettant de retrouver son entreprise n’a pas été simple. Bref, après une première correction. Entre mon premier protocole d’alerte, et le second courriel lui expliquant le problème, les factures ont été effacées. Dans la foulée, l’accès au dossier /wp-content/uploads/ de la boutique fermé.
Si cette entreprise est surtout fautive d’avoir laissé son dossier /wp-content/uploads/ ouvert, donc donnant accès à de nombreux contenus, dont les factures, la fuite des documents comptables est due au plugin YITH WooCommerce PDF Invoice and Shipping List.
Mettre à jour YITH WooCommerce PDF
Cette faille a été corrigée ce 17 octobre après une alerte sur le site WordPress. YITH WooCommerce PDF Invoice and Shipping List donnait accès aux factures. Des fichiers au format PDF directement dans le serveur des boutiques utilisatrices.
Bref, penser qu’un site web peut devenir aussi un lieu de stockage de documents est une grave erreur.
Utilisateurs de ce plugin, mettez à jour ce dernier et surtout, vérifiez bien qu’aucunes factures ne traînent dans votre serveur web… ou copiée par le cache Google !
Pour rappel, ce type de fuite, à partir du 25 mai 2018, rentre dans les obligations du RGPD, le nouveau Règlement Général de la Protection des Données.