ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !

"Supergau" chez Verivox et Check24 - des failles de sécurité découvertes

Des failles de sécurité découvertes chez Verivox et Check24.
Catégories :

Le commissaire bavarois à la protection des données et le commissaire à la protection des données du Bade-Wurtemberg sont confrontés à d'importants contrôles : Un expert en sécurité a découvert des failles de sécurité critiques sur les portails de comparaison Verivox et Check24. Des dizaines de milliers de clients seraient concernés par ces fuites de données. Le Chaos Computer Club parle même d'une "super catastrophe".

Failles de sécurité chez Check24 et Verivox

Les fuites de données ont été découvertes par un expert en sécurité informatique qui souhaite rester anonyme. Dans un entretien avec le portail d'investigation Correctiv, l'expert en informatique a expliqué qu'il était d'abord littéralement tombé sur la faille de sécurité de Check24, avant de découvrir une fuite similaire chez Verivox. "L'exploitation de ces failles de sécurité ne nécessitait pas de connaissances techniques approfondies", a déclaré le lanceur d'alerte.

Check24 et Verivox sont des portails de comparaison sur lesquels les consommateurs peuvent par exemple comparer les tarifs de l'électricité et du gaz ou les conditions de crédit. Si le consommateur trouve ce qu'il cherche, Check24 ou Verivox peuvent, s'il le souhaite, négocier le contrat. Dans ce cadre, les deux entreprises collectent un grand nombre de données à caractère personnel nécessaires à la conclusion du contrat. Ces données sont également transmises à l'entreprise qui sert d'intermédiaire. Pour la conclusion du contrat, Check24 et Verivox perçoivent une commission.

Panne de données dans une agence de crédit

Comme le rapporte Correctiv, la faille de sécurité est apparue sur les deux portails dans le domaine de la comparaison de crédit. Les personnes intéressées qui s'étaient inscrites en tant qu'invitées recevaient leur offre personnelle via une URL. En modifiant le chiffre à la fin de l'URL vers le haut ou vers le bas, il était possible de consulter l'offre personnelle pour une tierce personne. Chez Verivox, cela était possible sans demande de mot de passe, chez Check24 avec. Toutefois, le même mot de passe y était utilisé pour tous les clients.

De cette manière simple, l'expert en informatique a pu consulter des enregistrements de données de tiers. Parmi ces données se trouvaient des informations sensibles telles que l'adresse, le salaire mensuel, le nombre d'enfants ou l'employeur. Le dénonciateur a informé les deux entreprises par l'intermédiaire du Chaos Computer Club : le 29 juillet Check24, le 20 août Verivox.

"Il est tout à fait remarquable que deux portails aussi importants, qui ne font rien d'autre que de collecter des données et de les transmettre aux banques, commettent de telles erreurs de débutants, qui ne devraient pas se produire", explique Matthias Marx du Chaos Computer Club dans un entretien avec Correctiv.

Conseil de lecture : La Commission irlandaise de la protection de la vie privée ouvre une procédure en matière d'IA contre Google

Enquêtes des autorités de protection des données déjà en cours

Check24 et Verivox ont confirmé les failles de sécurité à la demande de Correctiv. Selon les deux entreprises, les failles de sécurité ont été comblées et les développeurs responsables ont reçu une formation complémentaire. Les enquêtes des autorités compétentes en matière de protection des données montreront dans quelle mesure les mesures techniques et organisationnelles ont été défaillantes auparavant.

Check24 a son siège à Munich, l'entreprise est soumise à l'autorité bavaroise chargée de la protection des données. L'entreprise Verivox a son siège à Heidelberg, où le commissaire à la protection des données du Land de Bade-Wurtemberg effectue des contrôles. Les entreprises doivent maintenant avant tout prouver si les données ont été détournées par les failles de sécurité. Les deux entreprises n'ont pas encore pu indiquer combien de temps la faille de sécurité a duré et combien de personnes ont pu être touchées. Cela fera également partie de l'enquête menée par les autorités de protection des données.

Source : Médiation du crédit chez Check24 et Verivox : des fuites de données critiques découvertes - Article Correctiv

Les tags :
Partager ce post :
fr_FRFrench