Une brèche exploitable par les cybercriminels à l’affût de la moindre faille de sécurité dans le système bancaire. En sondant les ports de serveurs ouverts sur le Web, les spécialistes en VPN de WizCase sont tombés sur les données non protégées de 8 000 clients de la néobanque Xaalys.

Cette fuite potentielle de « data » personnelles, dont sont friands les hackers, provient de la base de données d’un serveur Elasticsearch mal configuré et apparemment sans mot de passe d’accès.

Xaalys a depuis colmaté la fuite et sécurisé son espace de données clients dont la plupart sont mineurs.

Les transactions à portée de clic

Les informations sensibles y étaient stockées dans un format texte et n’étaient pas protégées par un chiffrement.

Les chercheurs ont pu consulter noms, adresses, numéros de téléphone, dates de naissance… mais aussi de précieux renseignements sur les transactions effectuées par les jeunes clients et leurs habitudes de consommation.

Lancée au printemps 2019, Xaalys revendique 12 000 utilisateurs de son application. Contactée par le Parisien-Aujourd’hui-en-France, la jeune pousse n’a pas répondu à nos demandes de commentaires.

Comme sa PDG, Diana Brondel, nous l’expliquait en décembre dernier, « avec les cagnottes, je sais, par exemple, ce que les jeunes veulent à trois, six ou neuf mois. C’est de la data hyper intéressante. »

Une mine d’or à mieux protéger à l’avenir donc.



Source link

You must be logged in to post a comment.