fuite de données personnelles à la RATP

L’UFC Que Chosir vient de révéler un problème de protection des données sur le site Internet de la RATP. Selon l’association de défense des consommateurs, il a permis durant tout cet été « à n’importe qui d’accéder à des centaines de formulaires préremplis ».

Il s’agissait spécialement de quelques centaines de formulaires d’adhésion au service Navigo (un pass avec abonnement sans contact).
Sur chaque formulaire, on pouvait contempler la photo du demandeur, son état civil, son adresse postale, son mail et son numéro de téléphone. « Un peu d’imagination et quelques clics suffisaient pour avoir accès à ces données privées » explique l’UFC. En fait, un particulier qui s’enregistrait en ligne s’est aperçu que l’URL de son formulaire correspond en partie à son numéro client. Surprise : en modifiant à la main ce numéro dans l’adresse, il parvint dynamiquement à consulter le formulaire des autres clients. Imparable.

« Au final, [le consommateur ] a pu avoir accès à pas moins de 1 400 formulaires préremplis ! » !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!