Une faille dans les liens de connexion aux comptes permettait de collecter les adresses e-mail des clients de la marque française, et même l’historique des transactions dans certains cas.
Le site Web de Louis Vuitton était sujet à une fuite de données personnelles particulièrement facile à exploiter. Le chercheur en sécurité Sabri Haddouche a remarqué qu’il suffisait d’incrémenter le numéro de l’identifiant de compte dans un lien de connexion pour obtenir les adresses e-mail des clients de la marque française.
Mieux, si un client avait juste réalisé un achat sans créer de compte, on pouvait le faire à sa place et accéder à son historique de transactions. Ce qui est plutôt cocasse.
Visiblement peu rodé à la sécurité informatique, le spécialiste du luxe à monogramme a mis une semaine avant de comprendre la notification d’alerte que Sabri Haddouche lui a envoyée.
Dans un premier temps, le maroquinier pensait que l’expert lui proposait un contrat de sponsoring. Un malentendu qui, heureusement, s’est désormais dissipé. La faille est maintenant corrigée.