Faille de sécurité : le libraire WHSmith distribue les données de ses clients

Antoine Oury - 02.09.2015

Edition - Librairies - WHSmith - libraire - données clients


Le hack est le nouveau cambriolage : avec les bases dématérialisées, les données clients sont devenues la cible des malfaiteurs du Web, qui n'hésitent pas à s'attaquer à de puissantes sociétés comme Adobe ou Sony. Mais la chaîne de librairies britannique WHSmith s'est visiblement débrouillée seule pour faire échapper ses données clients, qu'elle a distribuées... à d'autres clients.

 

WHSmith - Londres

Boutique WHSmith à King's Cross, Londres (ActuaLitté, CC BY SA 2.0)

 

 

La chaîne WHSmith fait à la fois office de librairie et de maison de la presse, et propose notamment, via son site web, un service d'abonnement en ligne pour diverses publications. Sauf que ceux qui étaient passés par WHSmith ont commencé à recevoir d'étranges emails, avec l'apparence, au premier abord, d'un vilain bug...

 

Après ouverture, il s'est avéré que les messages contenaient les données personnelles d'autres utilisateurs, souvent accompagnées d'un message du type « Arrêtez de m'envoyer des emails ». En fait, le premier bug, qui envoyait des données confidentielles aux utilisateurs, s'est étendu aux formulaires de contact, que les victimes utilisaient pour se plaindre. Un joyeux foutoir, en tout cas.

 

Le pire, c'est que le libraire n'a pas fait preuve de réactivité sur les réseaux, face aux plaintes des consommateurs. Qui se sont multipliées, aiguillonnées par l'absence de réaction.

 

 

« J'adore le hack de WHSmith. Il me donne l'impression de connaître plein de nouvelles personnes, sans la corvée de devoir les rencontrer. #jaitonnuméro »

 

 

« Pourquoi est-ce que vous ne faites rien concernant votre fuite de données ? J'ai reçu des dizaines d'emails de gens qui utilisent votre formulaire en ligne ! »

 

 

« Les gens : arrêtez d'utiliser le formulaire de WHSmith pour vous plaindre de la fuite de vos données. C'est comme ça que vos données circulent ! »

 

La société I-subscribe, qui sous-traite les abonnements pour WHSmith, a alerté le libraire du bug, « qui n'est pas une fuite de données », s'est empressé de préciser, finalement, la chaîne. Selon WHSmith, le problème aurait transmis les coordonnées d'une quarantaine de clients, au total.

 

(via The Register)