Fuite des données personnelles des créateurs de cagnotte sur Leetchi
29/05/2020Leetchi est un site permettant de concevoir et collecter de l’argent en ligne. Or, ce dernier a été victime d’une fuite de données personnelles d’internautes ayant conçu une tirelire solidaire sur la plateforme.
Leetchi : c’est quoi exactement ?
Conçue en 2009 et désormais filiale du groupe Crédit Mutuel Arkéa, la plateforme Leetchi est le numéro 1 de la cagnotte web en Europe. Le site possède environ douze millions d’utilisateurs. Le portail offre la possibilité de recueillir de l’argent simplement, rapidement et de façon totalement sûre afin de procéder au financement d’un cadeau, d’un événement ou encore d’un projet. En seulement quatre étapes, Leetchi permet de collecter l’argent nécessaire à la réalisation de ce que vous désirez. Vous n’avez qu’à créer une cagnotte en ligne et invitez ensuite les donateurs.
Une faille de sécurité désormais corrigée
La cybersécurité est un domaine compliqué. Leetchi, célèbre service de cagnottes en ligne, l’a récemment constaté à ses dépends à cause d’une faille de sécurité ayant mis à découvert les informations personnelles des concepteurs de cagnotte. Sont seulement concernés les créateurs ayant conçu une cagnotte entre le 16 et le 20 avril de cette année. Les comptes ayant été victimes de cette faille ont tous été avertis par l’entreprise par mail. Dans ce dernier, le groupe parle d’une erreur technique ayant engendré une perte de confidentialité des informations sensibles. En réalité, il s’agit d’une faille au niveau du code source. Cette dernière a rendu visible beaucoup de données personnelles comme les noms, les mails ou encore les coordonnées GPS. Toutes ces informations pouvaient directement être consultées au niveau du code source des cagnottes en ligne. Leetchi a affirmé qu’aucune donnée ultra-sensible (du type données bancaires ou mot de passe) n’avaient été visibles. Le groupe a également constaté aucune dépense de cagnotte en lien avec un usage frauduleux des données des utilisateurs.
Désormais, la faille a été corrigée (elle l’a été exactement le 20 avril 2020). Cette dernière a été causée par l’intégration d’une nouvelle fonction coïncidant avec une évolution technologique de rendu de page. Durant quatre journées, une simple consultation de code source suffisait afin de tout savoir sur le créateur de la cagnotte. Néanmoins, la société s’est montrée vraiment rassurante auprès de ses utilisateurs : les cagnottes sont pour la plupart privées. Ainsi, le visiteur doit avoir un lien partagé, donné au préalable par le concepteur, pour avoir accès à la cagnotte. Sans ce dernier, il n’y a pas de moyen aisé d’accéder au code source, et par conséquent aux données sensibles du concepteur.
Une faille idéale pour l’hameçonnage
À l’heure actuelle, la société n’a toujours pas fourni de renseignements par rapport à la faille. Même chose par rapport au recueil des informations GPS, qui est un aspect extrêmement sensible. Il n’est pas écrit dans la politique de confidentialité du groupe que les informations GPS sont recueillies. Il n’y a que l’adresse IP qui permet d’effectuer la localisation d’un internaute. Néanmoins, il est compliqué de définir cette information comme faisant partie des « données GPS ».
Si ce genre de données tombent entre des mains malveillantes, cela pourrait être très dangereux. En effet, avec des informations telles que des mails, des dates de naissances ou encore des prénoms, les campagnes d’hameçonnage peuvent déjà aller assez loin. Avec les coordonnées GPS, elles sont encore plus poussées. Ainsi, l’attaque paraît encore plus réaliste. Selon le site de la chaîne BFM TV, la CNIL a été avertie de cette affaire, comme le demande le RGPD, et les utilisateurs de Leetchi désirant utiliser le droit de retrait peuvent pour cela se servir du mail suivant : mesdonnees@leetchi.com.