La société Lleida Networks, entreprise de confiance de l’Union européenne pour la fiabilité de ses signatures électroniques, a été informée que les commandes des clients de son site « ClickAndSign.eu » étaient accessibles publiquement, ce qui peut porter préjudice aux internautes en raison du caractère personnel des données inclues.

Ces commandes n’étaient pas protégées par un mécanisme d’authentification et pouvaient être consultées en modifiant le numéro de la commande de l’adresse de la page de confirmation de commande qui était affichée aux clients au moment de passer la commande.

Au total, 10 000 commandes étaient publiquement accessibles, datant de 2014 à 2020.

Chaque commande contenait :

  • le numéro de la commande ;
  • le nom d’utilisateur de l’acheteur ;
  • la date et l’heure de la commande ;
  • le moyen de paiement utilisé ;
  • le montant de la commande ;
  • le nombre de crédits achetés.

Beaucoup de noms d’utilisateurs permettaient d’identifier l’auteur de ces commandes.

Événements relatifs à cette alerte :

  • le 27/01/2020, un message a été envoyé à la société LLeida ;
  • le 31/01/2020, la société LLeida a corrigé la faille et a décidé de ne pas informer ses clients.

L’alerte est désormais terminée.