Les données privées des clients d'Alkomprar sont exposées sur Internet sans aucune restriction

Une nouvelle faille de cybersécurité a été dévoilée par une entreprise en Colombie . Les données des clients qui ont demandé des prêts à l'entrepôt d' Alkomprar sont exposées via un lien sans aucune restriction.

Selon le blog MuchoHacker , plus de 50 000 documents contenant des informations privées sur environ 15 000 personnes ont été trouvés dans une section du site Web où les clients peuvent demander des prêts.

La découverte a été faite par un utilisateur sur Twitter , qui a contacté le site pour les alerter de la situation, car il ne s'agissait pas d'une cyberattaque, mais plutôt d'une faille de sécurité de la plateforme et on ne sait pas depuis quand elle s'est produite.

Les informations qui ont été exposées

Ce magasin propose à ses clients une option de prêt pour acheter les produits qu'il y vend, pour laquelle la personne doit remplir une procédure auprès du magasin, fournir des informations personnelles et signer des accords pour légaliser la dette, les paiements, etc.

La demande se fait en magasin ou en ligne via la propre plateforme de l'établissement, qui est celle qui présente la vulnérabilité, puisque n'importe qui peut accéder à ces informations.

L'enquête a trouvé des données telles que des numéros d'identification, des contrats pour l'accord de prêt et des photographies des clients, qui font partie du processus de légalisation. Tout cela condensé dans un document PDF en libre accès.

Dans les contrats trouvés, il y avait plus d'informations personnelles, car ce sont des formulaires où les gens mettent leur adresse e-mail, date de naissance, ville de résidence, numéros de téléphone, activité économique, type de contrat, entreprise où ils travaillent, poste, revenus et dépenses mensuels .

Mais en plus des clients, les informations des analystes de l'entreprise sont également exposées avec les heures d'entrée et de sortie de leur travail, avec un récapitulatif des heures travaillées, des pauses de travail, des pauses déjeuner, entre autres.

Au total, le site Web donne accès à plus de 30 000 données personnelles , y compris des photos, des journaux de travaux et des détails sur les clients. Ceux-ci pourraient être utilisés pour entrer dans le profil de chacun et en savoir plus sur le prêt avec le magasin ou en profiter pour d'autres délits en dehors de la plateforme.

L'entreprise a assuré qu'elle enquêtait sur la situation, pour prendre les mesures nécessaires et corriger la panne, en plus d'informer les autorités compétentes pour trouver les responsables de la vulnérabilité.

Un autre cas en Colombie

Il s'agit du deuxième cas de ce type connu dans le pays jusqu'à présent en 2023. Une panne a également été déposée récemment auprès de Keralty , la société propriétaire d' EPS Sanitas , qui présente une vulnérabilité avec les données de ses utilisateurs, les laissant libres sur Internet sans aucune protection.

Il suffit d'entrer le lien, que nous ne partageons pas pour la sécurité des personnes concernées, pour accéder à l'ensemble du contenu, qui fait partie de la documentation que les personnes doivent remettre à l'entité sanitaire rejoindre l'établissement de santé.

Les types de fichiers stockés sont des cartes de citoyenneté et des actes d'état civil numérisés, des formulaires d'affiliation et des contrats de travail, le tout en haute qualité d'image, car ils sont nécessaires aux procédures internes de l'entreprise.

Bob Diachenko est l'analyste qui a découvert cet échec et a trouvé un total de 999 941 documents affichés, mais le chiffre pourrait être plus élevé, compte tenu du fait que Sanitas compte 4,74 millions de membres en Colombie et que le groupe Keralty gère de nombreuses autres entités telles que Colsanitas, Medisanitas et la Fondation universitaire Sanitas.

Continuer à lire: