LEBIGDATA.FR I.A, Cloud & Cybersécurité
VPNMentor a découvert une faille de sécurité dans l'application Genius de La Poste, destinée aux petites entreprises. Plus de 23 millions d'enregistrements auraient été exposés, pour un total de 15Go de données…
Avec l'application mobile Genius pour Android, le groupe La Poste propose aux TPE, PME et travailleurs indépendants un service d'encaissement, de gestion des stocks et d'inventaire. Un service très utile pour simplifier la vie de ces entreprises. Problème ? La sécurité n'est pas forcément au rendez-vous…
Les hackers éthiques de VPNMentor annoncent avoir découvert une faille dans la base de données de Genius. À cause de cette vulnérabilité, des millions de données de vendeurs, de clients et de fournisseurs ont été exposées au grand jour sur le web.
Parmi les informations en fuite, on compte principalement des informations sur les paiements effectués à l'aide de l'application, mais aussi des adresses email, des noms, des numéros de téléphone, des factures, des inventaires, et des bilans de transactions.
Au total, au moins 23 millions d'enregistrements auraient été exposés pour un total de 15Go de données. Cette fuite concerne des utilisateurs dans toute la France.
La Poste réfute le manquement au RGPD
https://www.youtube.com/watch?v=cTBQt25M5bs
La faille de sécurité a été découverte par VPNMentor le 11 novembre 2019, et La Poste a été prévenue le 13 novembre. La CNIL, quant à elle, a été avertie le 18 novembre 2019. Cependant, il aura fallu attendre le 8 décembre 2019 pour que la brèche soit enfin colmatée…
De plus, selon VPNMentor, La Poste n'a pas pris les mesures nécessaires pour protéger les données comme il se doit. On déplore notamment un manque de sécurisation des serveurs et l'absence de règles d'accès solides. Ainsi, selon la firme, » cette fuite de données est une sérieuse violation des protocoles de sécurité des données de La Poste et des développeurs de cette appli « .
Fort heureusement, la faille a été découverte par des hackers éthiques. Cependant, si des cyber-criminels avaient accédé à ces données en premier, les conséquences pour la confidentialité et la sécurité des personnes affectées auraient pu être dramatiques.
Selon le directeur de la cybersécurité de La Poste, toutefois, le nombre de données impactées annoncé par VPNMentor est erroné. De plus, le groupe précise qu'il réalise régulièrement des tests sur Genius et que la faille n'aurait en réalité pas touché de données à haut risque. C'est la raison pour laquelle les clients et la CNIL n'ont pas été immédiatement notifiés dans le cadre du RGPD…
- Partager l'article :
