Une boutique en ligne bien connue fait face à de nouveaux problèmes de cybersécurité, il n'a fallu qu'un clic

• Sur Morele.net, il suffisait qu’un utilisateur soit connecté et modifie le numéro dans le lien pour afficher l’e-mail et le numéro de téléphone d’un autre client.
• L'entreprise garantit que les données n'ont pas été utilisées par des tiers.
• Ce n'est pas la première fois que Morele.net rencontre des problèmes de protection des données. Depuis 2019, l'UODO tente de le sanctionner pour la fuite des données de 2,2 millions de clients.

Sans piratage, compétences particulières ou décryptage de mot de passe, les données clients de la boutique en ligne Morele.net étaient disponibles à portée de main.

Comment a-t-il été possible d'obtenir les données clients de Morele.net ?

Il suffisait de se connecter à la boutique, même en tant que nouvel utilisateur, et de coller dans son navigateur le lien contenant le numéro de commande figurant sur le site web. En modifiant les numéros de commande dans le lien, on pouvait afficher les données d'un autre client, comme son numéro de téléphone ou son adresse e-mail. Ces informations suffisaient à lancer des spams, des appels ou des tentatives d'escroquerie par « petit-enfant » ou « coursier ». La vulnérabilité a été décrite par le site web wieszanatrzeciastrona.pl.

L'auteur du site a signalé le bug à l'entreprise (un client anonyme du service d'achat lui avait déjà écrit). « Après avoir confirmé l'existence de la vulnérabilité, nous l'avons supprimée dans les deux heures suivant la confirmation du signalement », assure Anna Pieprzak-Socha de Morele.net. « Nous avons immédiatement pris des mesures pour limiter l'impact de la vulnérabilité. Nous sommes en train d'identifier la cause profonde de la situation », ajoute-t-elle.

Le cas de vulnérabilité sur Morele.net est traité par l'UODO

Comme l'assure l'entreprise, les cybercriminels n'ont pas utilisé cette faille. - La vulnérabilité a été utilisée uniquement à des fins de vérification par la partie déclarante et le journaliste, et toutes les actions étaient dans les limites d'une divulgation responsable - déclare WNP Pieprzak-Socha.

L'affaire a été signalée à l'Office de protection des données personnelles. Comme l'a confirmé le porte-parole de l'autorité, une analyse est en cours. Ce n'est qu'une fois l'UODO terminée que l'on saura si Morele.net devra payer une nouvelle amende pour violation des données de ses clients.

Une amende de 3,8 millions PLN pour Morele.net en attente de la décision finale du tribunal

Rappelons qu'en septembre 2019, le président de l'Office de protection des données personnelles avait infligé une amende de 2,8 millions de PLN à l'entreprise suite à la fuite des données personnelles de 2,2 millions de personnes. L'entreprise avait fait appel. Quatre ans plus tard, la Cour administrative suprême avait annulé la première décision de l'autorité. Cependant, l'Office avait engagé une nouvelle procédure et , en février 2024, le président de l'Office avait de nouveau sanctionné l'entreprise Morele.net pour violation des dispositions du RGPD. Cette fois, l'amende s'élevait à plus de 3,8 millions de PLN.

La décision de l'autorité de surveillance a de nouveau fait l'objet d'un recours devant le tribunal administratif provincial de Varsovie. Ce dernier a rejeté la plainte de Morele.net contre la décision du président de l'UODO.

Actuellement, l'affaire attend une décision de la Cour administrative suprême, car l'entreprise a également fait appel du jugement du Tribunal administratif provincial.