Telefónica reconnait l'existence d'une faille de sécurité sur le site Web de Movistar,
qui a exposé des données personnelles de millions d'utilisateurs
Telefonica, la multinationale espagnole de télécommunications qui figure parmi les plus grandes compagnies au monde dans son industrie en termes de nombre de clients (notamment depuis l’acquisition de O2, Movistar et Manx Telecom) a subi une violation de données cette semaine. Les informations personnelles (noms, adresses, e-mail, numéro de fixe et de mobile) et de facturation de millions d'utilisateurs espagnols du service de téléphonie fixe, large bande et payante de Movistar ont été exposées.
C’est l’organisme de défense des droits des consommateurs, FACUA-Consommateurs en action, qui a détecté une faille sur le site Web de Movistar permettant fondamentalement d’avoir accès aux informations privées des clients Movistar sans avoir besoin de connaissance en informatique.
Il suffisait d'avoir une ligne avec l'entreprise et, après avoir entré sur le web votre identifiant et votre mot de passe, accéder aux informations de facturation; Lors de la demande d'affichage d'une facture, l'adresse du navigateur (URL) incorpore un code alphanumérique équivalent au numéro du reçu, qui pourrait être modifié pour que la page affiche les factures d'autres clients.
Site Web Movistar
Le porte-parole du FACUA, Ruben Sanchez , a donné ce lundi matin le point de sécurité à 11h00 lors d'une conférence de presse à son siège national, à Séville. FACUA a communiqué l'existence de la faille de sécurité à un responsable Movistar dimanche après-midi. Le lendemain, la société a supprimé des fonctionnalités de son site Web pour éviter que les données de ses clients continuent d'être exposées. Ainsi, le lundi matin, il n'était plus possible d'accéder à la version en ligne des factures émises depuis août 2017.
Comme prévu par le RGPD, Movistar doit faire parvenir un courriel à ses clients pour les informer que l’entreprise a pris connaissance d’une faille de sécurité qui a publiquement exposé leurs données.
Aucune exploitation de cette faille répertoriée, selon Telefonica
Un porte-parole de l’entreprise a confirmé l’existence de la vulnérabilité mais a précisé que la faille avait déjà été colmatée : il n’est donc plus possible de se servir de cette erreur de programmation. L’entreprise indique également n’avoir aucune preuve d'une possible exploitation de la vulnérabilité : « des analyses effectuées, aucun accès frauduleux n'a été détecté à ce jour », a affirmé le porte-parole.
« La plus grande violation de données dans l’histoire de l’Espagne », selon FACUA
Selon Telefónica, dès que l’entreprise a eu vent « d’une communication qui parlait de problèmes avec les données clients dans une société Ibex 35 », elle a commencé « toutes sortes de contrôles ». Par la suite elle est venue à la conclusion que la société qui était touchée était Movistar, et a confirmé « qu’une vulnérabilité a été détectée qui permettait d'accéder via un site internet de l'entreprise aux données de la facture des clients de façon aléatoire ».
Du côté de l'association de consommateurs, le porte-parole explique qu'elle a été au courant de l'incident par le biais d'un rapport d'utilisateur, l'a vérifié, s'est rendue chez un notaire pour le vérifier, a fait un procès-verbal et l'a finalement signalé à l'Agence espagnole de protection des données.
La FACUA précise que le fait « a déjà été porté à l'attention de toutes les autorités compétentes » et « qu’une analyse a été lancée pour déterminer ce qui s'est passé ». La FACUA qualifie l'incident de « plus grave atteinte à la sécurité de l'histoire des télécommunications en Espagne ».
Aussi, ce même lundi matin, la FACUA a porté plainte contre Telefónica de España et Telefónica Móviles devant l'Agence Espagnole de Protection des Données (AEPD), à laquelle elle a demandé l'ouverture d'une procédure de sanction contre la multinationale espagnole des télécommunications.
Le règlement européen établit que, selon leur gravité, les États membres vont sanctionner les infractions pour des montants pouvant atteindre 10 ou 20 millions d'euros ou, dans le cas d'une entreprise, pour un montant équivalent à 2 ou 4% Chiffre d'affaires annuel total maximum de l'exercice précédent, optant pour le montant le plus élevé. Cependant, la loi espagnole sur la protection des données personnelles limite ces amendes à 300 000 et 600 000 euros, selon qu'il s'agit d'infractions graves ou très graves.
Le FACUA considère que les sanctions maximales prévues par la réglementation espagnole en matière de protection des données sont absolument ridicules et demande au gouvernement de les actualiser car elles ne sont pas proportionnelles à la gravité des irrégularités et au nombre de personnes concernées.
Source : FACUA
Et vous ?
Qu'en pensez-vous ?
Voir aussi :
Polar Flow, une application de fitness, expose par inadvertance les maisons des agents de renseignements et du personnel militaire
65 % des cartes mémoire d'occasion contiennent toujours des données personnelles des précédents propriétaires, selon une étude
France : publication dans le Journal officiel de la loi sur la protection des données personnelles, qui adapte le RGPD au droit français
Données personnelles : Chrome et Firefox aussi à l'origine de piratage de profils Facebook, une fonctionnalité Web a été exploitée par des pirates
Données personnelles : l'OCU prépare une nouvelle plainte contre Facebook en Espagne, et sensibilise les usagers à s'allier à son action
Partager