Fuite de données pour AVIS

La société AVIS, spécialisée dans la location de véhicules, ne protège pas parfaitement les données que lui fournissent les internautes.

Mise à jour 26/03/2015 : L’agence de presse d’AVIS a contacté la rédaction. Nous avons pu lui fournir les éléments qui ont permis de corriger la fuite très rapidement.

Mise à jour 02/04/2015 : Nous en savons plus sur cette étonnante fuite de données téléphoniques. Plus de peur que de mal. Les numéros de téléphones, nombreux, qui apparaissaient appartenaient aux agences de voyages/entreprises qui utilisaient le service pour réserver des voitures pour leurs clients.

Le 8 mars dernier, le protocole d’alerte de ZATAZ.COM a tenté de joindre, sans résultat pour le moment, le service presse du loueur de véhicules, AVIS. Une demande pourtant explicite à l’agence de communication « Le Public System » a qui nous indiquions alors chercher « à joindre un responsable de chez AVIS au sujet d’une fuite de données concernant des clients. » Nous n’expliquerons pas ou, ni comment, il nous est possible de lire les numéros de téléphones laissés par les internautes souhaitant avoir un devis pour la location d’une voiture proposée par AVIS. Imaginez un pirate, avec ce genre de données. D’autant plus qu’il est possible de connaitre le choix d’une période de réservation et le type de véhicule souhaité par l’internaute.

Voiture, date de location et téléphone accessibles d'un simple clic de souris.

Voiture, date de location et téléphone accessibles d’un simple clic de souris.

Le malveillant n’a plus qu’à téléphoner à sa potentielle victime et lui soutirer d’autres informations plus sensibles encore, en se faisant passer pour l’entreprise au logo rouge. Dans notre test, il nous aura fallu à peine 30 secondes pour remonter à l’identité de trois clients. Il nous a suffi de rentrer le numéro de téléphones dans Google pour nous retrouver avec les adresses postales des demandeurs de devis. Il était aussi possible de retrouver l’adresse via une fuite de données, corrigée depuis, sur le site Degrouptest. Nous restons à la disposition d’AVIS pour lui fournir les informations qui lui permettront de boucher ce pneu crevé.

Références Directes non Sécurisées à un Objet

Le pirate pourra avoir accès à n’importe quel compte, mais par l’intermédiaire de l’URL. Il y a un risque si celle-ci affiche en clair le numéro d’identifiant du compte connecté, et que le site n’a pas assez contrôlé ses droits de session. L’attaquant changera alors simplement le numéro d’identifiant à la fin de l’URL par exemple de 34 à 35, et aura accès aux informations du compte 35 qui n’est pas le sien.

Poster un commentaire