Sécurité

Exclusif : 53 000 données des partenaires de RV Les bénéfices sont exposés sur l’internet

Le chercheur en sécurité Avishai Efrat révèle exclusivement à PerlmOl qu’une base de données a été exposée sur Internet avec 53 000 enregistrements liés à VR Benefits, comprenant le nom complet, le CPF, la date de naissance, le numéro de téléphone et l’adresse e-mail. La société confirme que les informations personnelles proviennent des pigistes du partenaire de RV, et non des clients des bons d’alimentation et des coupons alimentaires ; et explique que le problème a été résolu.

Efrat, qui travaille comme spécialiste de la cybersécurité chez Wizcase, dit qu’il est en contact avec VR Benefícios depuis fin mai, mais que la base de données n’a été protégée que cette semaine. Il a également mis en garde Amazon et le CERT.br (Centre d’étude, d’intervention et de traitement des incidents de sécurité en France).

Nous avons contacté Amazon et CERT.br pour aider à résoudre cette fuite, après que nous n’ayons pas obtenu de réponse de la société”, explique Efrat. Le 10 juin, CERT.br a signalé que le problème avait enfin été examiné ; et le chercheur a confirmé que les données confidentielles ne sont plus exposées dans le Cloud d’Amazon.

  IOS 13.5.1 corrige une erreur qui permet la violation des droits de propriété intellectuelle sur l'iPhone

Dans une déclaration à PerlmOl, la société déclare que ?un prestataire de services a accidentellement stocké dans un dépôt public une partie des données d’enregistrement de partenaires autonomes qui effectuent des ventes de produits de RV ? VR Benefits a été notifié par CERT.br et a informé le fournisseur, ?qui a fait les corrections nécessaires et a renforcé les protocoles de sécurité ?

Les données exposées concernaient le VR Partner, dans lequel les représentants effectuent la vente des produits VR Benefits, y compris les chèques-repas et les bons d’alimentation. Selon l’entreprise, il n’y a eu aucune fuite de données de la part de ses clients ni aucune défaillance de sécurité dans leurs propres systèmes.

Quelles données personnelles des prestations de RV ont été exposées ?

Dans ces dossiers, il y avait 53.000 enregistrements avec les informations suivantes :

  • nom complet ;
  • le sexe ;
  • CPF ;
  • CNPJ ;
  • l’adresse électronique ;
  • la date de naissance ;
  • numéro de téléphone ;
  • système d’exploitation des appareils mobiles ;
  • Données GPS ;
  • la date et l’heure de la dernière connexion.
  •   Un échec de quatre ans pourrait affecter 99% des appareils Android

    La base de données contenait des informations sur le système d’exploitation et le GPS, probablement collectées à partir de l’application VR Partner disponible pour Android et iOS.

    Les noms complets, les e-mails et les données personnelles, comme ceux qui figurent dans ces fichiers, peuvent être utilisés dans les escroqueries de phishing pour atteindre plus facilement les victimes et établir la confiance”, explique M. Efrat. Les données exposées augmentent également le risque de fraude et de fausseté idéologique.

    Vous avez une suggestion ou une plainte à formuler ? Envoyez-le nous par ; nous recevons également des conseils par email pour plus de sécurité.

  • A propos de l'auteur

    Ronan

    Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

    Laisser un commentaire