Rapport : Une Plateforme de Réservation de Vol Expose les Données de ses Clients

Menée par les chercheurs en confidentialité en ligne, Noam Rotem et Ran Locar, l’équipe de vpnMentor a récemment découvert une énorme fuite de données sur le site de réservation de billets d’avion Option Way. 

Basée en France, et avec une clientèle internationale, Option Way aide les utilisateurs à trouver des bonnes affaires sur des vols à destination du monde entier.

La fuite de données a exposé les informations personnelles des clients, permettant de créer un profil complet, ainsi que des informations détaillées sur leurs vols et leurs arrangements de vol. Au total, notre équipe a eu accès à plus de 100 Go de données, une fuite compromettant la confidentialité et la sécurité d’Option Way et de ses utilisateurs.

Chronologie de la découverte et de la réaction du propriétaire

  • Date de la découverte : 20/08/19
  • Date où le fournisseur est contacté : 25/08/19
  • Date de réponse et Base de données sécurisée : 29/08/19

Exemples de saisies de la base de données

On peut lire sur le site d’Option Way :

« Le site web www.Option Way.com est protégé par un certificat SSL.

Lorsque vous saisissez vos données personnelles, elles sont cryptées et stockées pour vous permettre d’effectuer des transactions. Vos données personnelles sont traitées en accord avec les recommandations du CNIL (Commission nationale de l’informatique et des libertés). »

Toutefois, ce n’est pas le cas.

Notre équipe a eu accès à plus de 100 Go de données, une quantité incroyable d’informations personnelles identifiables (IPI) appartenant à des clients.

Les exemples d’informations personnelles que nous avons pu observer dans la base de données incluent :

  • Les noms des clients
  • Leurs dates de naissances
  • Leurs genres
  • Leurs adresses mail
  • Leurs numéros de téléphone
  • Leurs adresses postales complètes
  • Les dates de départ et d’arrivée de leurs vols
  • Leurs destinations
  • Les prix des vols

Voici un exemple de données montrant l’adresse mail d’un client :

La photo suivante est un exemple de données affichant les informations personnelles d’un client :


Les adresses mail des utilisateurs d’Option Way étaient également accessibles grâce aux liens de réinitialisation de mots de passe. Cette faille a potentiellement exposé l’importante base de données à des hackers, et les utilisateurs d’Option Way à diverses fraudes potentielles.


La fuite de cette base de données a affecté des clients Option Way dans de nombreux pays. Avec un coup d’œil rapide aux fichiers, nous avons vu des informations personnelles sur des clients venant de :

  • France
  • Belgique
  • Algérie
  • Suisse
  • Autriche

Nous pensons qu’après une enquête plus poussée, la liste pourrait être beaucoup plus longue.

Combiner toutes ces données crée un profil complet des clients d’Option Way, ce qui les rend vulnérables à diverse formes de cybercrime et de fraude.

Des informations sur l’entreprise Option Way

En plus de leurs utilisateurs, la brèche de données a également compromis Option Way en exposant des informations sur les employés et l’entreprise elle-même.

Nous avons observer les IPI des membres du personnel utilisant la plateforme pour réserver des vols.

Pendant notre enquête, nous avons également trouvé les informations bancaires de l’entreprise, non masquées et accessibles à tous ceux qui entrent dans la base de données. Ces informations étaient utilisées pour réserver des vols pour les membres du personnel et les clients, ce qui créé de gros risques pour Option Way.

En ne protégeant pas les infos bancaires de l’entreprise, Option Way s’expose à des fraudes financières dévastatrices.

L’impact de cette fuite de données

Cette base de données ouverte est une véritable mine d’or pour les voleurs d’identité et autres criminels.

En rassemblant toutes les données exposées, des criminels de toutes sortes peuvent utiliser ces informations pour diverses activités illégales et dangereuses.

Phishing & Fraude

Une campagne de phishing implique de créer des mails imitant ceux d’entreprises et organisation légitimes. Ils sont envoyés à la victime pour la pousser à leur fournir des informations personnelles précieuses. Elles peuvent inclure des identifiants de connexion privés, des informations bancaires ou toutes autres informations utiles.

Une fois ces informations obtenues, la victime peut être exploitée de façons diverses, de la fraude bancaire au vol d’identité complet. Les hackers peuvent aussi vendre les IPI au plus offrant sur le dark net et les combiner avec d’autres formes d’attaque, ce qui rend les criminels exploitant les données intraçables.

De façon alternative, le mail de phishing peut contenir un malware ou un ransomware, utilisés pour espionner ou extorquer la victime.

L’accès aux IPI et aux détails de vol des utilisateurs d’Option Way permet aux hackers de créer des mails de phishing efficaces, en imitant Option Way, d’autres compagnies aériennes, ou d’autres entreprises liées.  

Détournement de compte

Dans la fuite de données, les numéros PNR uniques liés aux réservations ont eux aussi été exposés. Combinés avec les noms des clients, les hackers peuvent les utiliser pour prendre la main sur une réservation faite avec Option Way auprès d’une compagnie aérienne. Ils peuvent annuler ou changer les vols, ce que la victime ne découvrirait qu’après réception d’une notification de la compagnie aérienne.

Cambriolages

Avec cette base de données, les hackers et les voleurs savent exactement quand les clients Option Way sont en vacances. Ils ont aussi leur adresse postale. Ils peuvent même envoyer un mail ou appeler les clients pour confirmer leur absence pendant de longues périodes.

Ils peuvent ensuite planifier des cambriolages efficaces, avec beaucoup moins de risque de se faire prendre. Grâce aux prix des vols réservés sur Option Way, ils peuvent même estimer la richesse des clients et choisir une cible en se basant sur les récompenses potentielles.

Les risques pour Option Way

Cette fuite de données a de nombreuses implications négatives pour Option Way également. En laissant cette base de données sans cryptage et sans sécurité, l’entreprise prend le risque d’être victime de fraude et d’autres activités criminelles.

Fraude bancaire

Dans la base de données, notre équipe a découvert les détails de la carte bancaire d’entreprise d’Option Way, utilisée pour réserver des vols sur la plateforme. Souvent, la seule manière pour les agents de voyage de faire un profit sur des tickets pas chers est de les payer avec la carte bancaire de l’entreprise puis de facturer la carte de l’utilisateur séparément.

Si un criminel ou un hacker malveillant tombait là-dessus, il aurait accès à tous les fonds des comptes bancaires d’Option Way, pourrait faire des achats et créer d’immenses dettes.

Cela pourrait signifier une ruine financière et opérationnelle pour Option Way. L’entreprise aurait non seulement des dettes, mais serait aussi en danger sur le plan légal.

En plus des données bancaires de l’entreprise, la fuite de données expose aussi les employés d’Option Way. Cela les rend vulnérables aux mêmes formes d’attaques que les clients de l’entreprise.

Un modèle commercial compromis

La fuite de la base de données donne des infos précieuses sur la manière dont Option Way fonctionne et génère des revenus. Ces informations sont habituellement confidentielles et cachées à la concurrence.

En parcourant les informations contenues dans cette base de données, une entreprise concurrente pourrait avoir un avantage sur Option Way, répliquer leur modèle commercial, et offrir des prix inférieurs. Cela peut occasionner une perte de revenus difficile à rattraper.

Réputation endommagée

Si un hacker malveillant a pu accéder à la base de données, ce qui peut se faire avec un simple navigateur web, qui sait ce qu’il est capable de faire avec les informations obtenues ?

De nombreux clients Option Way auront ça en tête une fois qu’ils seront informés de la fuite de données.

Avis d’experts

Les gérants d’Option Way auraient pu éviter cette fuite en prenant des mesures de sécurité simples. Si les informations que nous avons trouvées ont pu être déjà exploitées par des criminels, voici nos suggestions pour Option Way :

  1. Sécurisez vos serveurs avec de meilleures mesures de protection.
  2. Mettez en place des règles d’accès strictes sur vos bases de données.
  3. Ne laissez jamais un système qui ne nécessite pas d’authentification ouvert sur internet.

Pour un guide poussé sur les manières de protéger votre entreprise, allez voir comment sécuriser votre site web et vos bases de données en ligne pour éviter les hackers.

Si vous faites partie de la clientèle d’Option Way et que vous vous inquiétez de la manière dont cette fuite peut impacter votre site ou votre entreprise, lisez notre complet sur la confidentialité en ligne.

Ce guide vous expliquera comment les cybercriminels ciblent les utilisateurs du net, et les mesures que vous pouvez prendre pour préserver votre sécurité.

Comment et pourquoi nous avons découvert la fuite

L’équipe de recherche de vpnMentor a découvert cette fuite dans le cadre d’un immense projet de mapping du web. Menée par Noam et Ran, l’équipe scanne des ports à la recherche de blocs d’IP familières et utilise ces blocs pour découvrir des failles dans le système web des entreprises. Une fois les failles trouvées, l’équipe recherche des vulnérabilités pouvant mener à des fuites de données.

L’équipe a découvert que de grosses parties de la base de données d’Option Way ne sont ni cryptées ni protégées. L’entreprise utilise une base de données Elasticsearch, qui n’est pas conçue pour être utilisée avec des URL. Nous sommes parvenus à y accéder en passant par un navigateur web et en manipulant les critères de recherche URL pour exposer de grosses quantités de données.

En utilisant son savoir, notre équipe a également examiné la base de données pour confirmer son identité.

En tant que hackers éthiques, nous sommes obligés de contacter les sites web quand nous y découvrons des failles de sécurité.

Nous avons aussi une responsabilité envers le public. Quand c’est possible, nous prévenons aussi les gens touchés par la faille, comme les clients ou les utilisateurs du site web.

Les clients d’Option Way et les compagnies aériennes de la plateforme doivent être conscients des risques qu’ils encourent quand ils utilisent une technologie faisant aussi peu d’efforts pour protéger ses utilisateurs.

Le but de cet exercice est de créer un internet plus sûr pour tout le monde.

À propos de nous et de nos rapports précédents

vpnMentor est le plus grand site d’analyse de VPN au monde. Notre labo de recherche est un service gratuit qui a pour but d’aider la communauté en ligne à se défendre contre les diverses cybermenaces tout en apprenant aux organisations à protéger les données de leurs utilisateurs. 

Nous avons récemment découvert une immense fuite de données touchant 80 millions de foyers américains. Nous avons également révélé une fuite chez Biostar 2, compromettant les données biométriques de plus d’un million de gens. Vous pourriez aussi vous intéresser à notre rapport sur les fuites et les statistiques de confidentialité des données des VPN.

C'est utile? Partagez-le!