Fuite de données : 4 millions de clients Center Parcs et Pierre et Vacances touchés
Fuite de données : 4 millions de clients Center Parcs touchés

Une faille de sécurité a permis à un cybercriminel d'exfiltrer des données personnelles liées à 1,6 million de réservations sur la plateforme de réservation du groupe Pierre & Vacances-Center Parcs. Plus de 4,5 millions de clients actuels et passés seraient concernés.

Une attaque exploitant une vulnérabilité IDOR

L'attaquant a utilisé une vulnérabilité de type IDOR (Insecure Direct Object Reference) pour accéder frauduleusement aux bases de données. En usurpant des droits d'accès, il a pu forcer l'entrée du système et atteindre les fichiers contenant les informations de réservation. Il a ensuite employé la technique du scraping pour aspirer les données affichées, et ce pendant plusieurs semaines sans être détecté.

Quelles données ont été dérobées ?

Selon les échantillons consultés par Le Parisien et le site French Breaches, les informations extraites couvrent plus de deux décennies de réservations. On y trouve notamment :

Bannière large Pickt — app de listes de courses collaboratives pour Telegram
  • le numéro de dossier ;
  • le logement choisi ;
  • les dates de réservation ;
  • la liste des occupants avec leurs noms et dates de naissance ;
  • le numéro de téléphone du client ;
  • des commentaires sur les options retenues (TV, climatisation, etc.).

Le groupe précise qu'aucune donnée bancaire ni adresse e-mail n'ont été compromises.

Réaction du groupe et procédure légale

Pierre & Vacances-Center Parcs a confirmé l'attaque et indiqué que ses équipes techniques ont identifié et corrigé la faille. Des mesures de sécurité ont été déployées pour prévenir tout nouvel incident. Conformément à la loi, le groupe a déposé une plainte contre X ce vendredi et notifié la Commission Nationale de l'Informatique et des Libertés (Cnil). Les clients concernés seront informés individuellement des risques d'arnaques potentielles.

Multiplications des fuites de données en France

Depuis 18 mois, les fuites de données se multiplient en France, touchant aussi bien de grands groupes de distribution (Auchan), des opérateurs télécoms (Free, SFR) que des administrations (ANTS, ministère de l'Intérieur). Plusieurs jeunes pirates ont été arrêtés après avoir revendiqué ces attaques, souvent de niveau technique faible mais redoutablement efficaces.

Le groupe Pierre & Vacances-Center Parcs s'expose désormais à une lourde amende si un manquement à la cybersécurité est avéré.

Bannière post-article Pickt — app de listes de courses collaboratives avec illustration familiale