Option Way : 100 Go de données d'utilisateurs étaient accessibles

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Option Way : 100 Go de données d'utilisateurs étaient accessibles

Publié le 04 septembre 2019 à 13:40 par Jérôme G.

Lire sur mobile

Les données personnelles de près de 1 500 utilisateurs de la plateforme de réservation de vols Option Way ont été en libre accès. Une erreur suite à une migration de serveur.

En début de semaine, la plateforme française Option Way pour la réservation de billets d'avion en ligne a indiqué avoir identifié une faille de sécurité informatique qui a été résolue.

Cette faille avait été découverte le 20 août par le média vpnMentor spécialisé dans les VPN qui a prévenu Option Way le 25 août. Dans un communiqué (PDF), Option Way précise que la faille a été corrigée le 29 août et ajoute qu'en vertu du RGPD, la Cnil a été prévenue de cet incident.

Selon Option Way, la faille concernait la sécurisation de son système d'indexation des logs qui n'avait pas été correctement mis à jour le 24 juillet 2019. " Ce composant est isolé du reste du système d'information de production et ne permet pas d'accéder ou de corrompre d'autres serveurs. Le système d'indexation des logs est utilisé pour traiter d'éventuels problèmes sur des réservations récentes. "

Ce système contient des données comme des données personnelles des voyageurs et des vols, mais pas des données de cartes bancaires. L'historique couvre 15 jours au-delà desquels les données sont effacées.

option-way

D'après Option Way, vpnMentor a été en mesure d'accéder au système d'indexation des logs avec des données du 4 au 20 août 2019. Cela concerne près de 1 500 réservations aériennes. D'autres accès anormaux que celui de vpnMentor n'ont pas été repérés.

A priori, des individus mal intentionnés n'ont donc pas pu avoir accès aux plus de 100 Go de données qui ont été dévoilés à l'équipe de vpnMentor. Parmi ces données, les noms, dates de naissance, adresses email, numéros de téléphone, adresses postales, dates de départ et de retour, destinations et prix des vols des clients.

Pour vpnMentor, de telles informations en clair et une base de données ainsi ouverte constituent " une mine d'or pour les voleurs d'identités et autres attaquants. " Le média ajoute que l'incident a également exposé les informations d'employés et de l'entreprise.

Si la communication d'Option Way est rassurante, le rapport de vpnMentor est par contre beaucoup plus alarmiste. Au Parisien, le patron d'Option Way déclare : " Nous avions effectué une migration vers un serveur utilisé par nos développeurs fin juillet et un port d'accès n'a pas été fermé. "