Faille de sécurité chez Leclerc et sa carte de fidélité

Ou sinon vous pouvez

De Askim
Aller à : navigation, rechercher

Voici une faille de sécurité découverte par Duchnoun en novembre 2017.

Plusieurs failles sont suceptible d'etre exploités par un pirate. Tout d'abord la première (la moins "grave") : https://secure.e-leclerc.com/secure/client/info/29525078XXXXX/soldeGainCarte

En modifiant le nombre "295xxxxx" (qui est le numéro derriere votre carte leclerc) , vous pouvez lire le nombre d'euro disponible sur la carte.

Ensuite viens cette url qui est plus problématique :

https://www.parapharmacie.leclerc/ajaxCarteFidelite.php?num=2952507810XXXX&code=XXXX

Ici en mettant votre code, vous retrouvez vos informations en json à savoir (et ceci en méthode GET et sans aucune session) :

{"nom":"LE_NOM","prenom":"LA_PERSONNE","adresse1":"XXX RUE XXXX","adresse2":null,"codepostal":"38XXX","ville":"ST MARTIN D HERES","dob_y":"19XX","dob_m":"XX","dob_d":"XX","telephone":"0626XXXXXX","info":"ok"}


Nom , prénom, adresse complète, date de naissance et téléphone.

Le plus génant est que ces urls ne sont pas protégée contre les brute force et ne demande aucun captcha. Vous pouvez donc vous amuser facilement à retrouver des informations sensibles sur la base de donnée de leclerc.


Plus problématique encore, si vous regarder ici : https://www.parapharmacie.leclerc/ , on peux crée une carte leclerc en ligne.

Là cette fois tout est protégé par Captcha, mais le problème est que en analysant le réseau et en mettant une adresse email bidon, vous pouvez récupéré le numéro de la carte crée. Et la découverte qui est génante montre que les numéro se suivent plus ou moins entre chaque création.

Résumons donc une attaque type qui aurait pu avoir lieu :

- Recherche des numéros carte leclerc avec le formulaire d'inscription

- Récupération des soldes de chaque carte

- Pour chaque carte ailliant un solde supérieur à N euro , se fournir l'adresse de la personne avec le brute force sur son code.

- Aller voler la carte chez la personne grace a son addresse postale.

- Dépenser son argent chez leclerc via la carte de fidélité !


Il semblerait d'ailleur que dans le passé certaines personne ont eu des problèmes avec un solde "envolé" sur leurs carte leclerc. Nous ne savons pas si ce serait lié.

De quoi refroidir plus d'une personne avant de fournir autant d'informations sur soit meme pour economiser quelques euros ...


A la suite de cette découverte, la direction de Leclerc a été informé.


Ajouter votre commentaire
Askim accueille tous les commentaires. Si vous ne voulez pas être anonyme, enregistrez-vous ou connectez-vous. C’est gratuit.

Récupérée de « http://www.askim.info/w/index.php?title=Faille_de_sécurité_chez_Leclerc_et_sa_carte_de_fidélité&oldid=27070 »