Réaction rapide pour une faille chez Flunch
L'espace emploi du site de Flunch a été mis hors ligne et la CNIL notifiée dès découverte d'une faille classique. La cause est l'implémentation d'un module défaillant sous Wordpress, Jobmonster.
PublicitéNotre confrère Zataz a révélé une faille désormais assez classique sur de nombreux sites web, concernant cette fois l'espace emploi du site des restaurants Flunch. Dès que l'enseigne a été informée, l'espace emploi a été mis hors ligne par précaution. La CNIL a aussitôt été notifiée de l'incident.
Créée en 1991 par le groupe Auchan, Flunch est une des marques de Agapes Restauration, branche restauration de l'Association familiale Mulliez, aux côtés d'enseignes comme Pizza Paï et Les Trois Brasseurs. Flunch dispose de 200 restaurants en France (170 établissements), Espagne, Portugal, Italie, Pologne, et Russie.
Sur l'espace emploi du groupe, les candidats (33 572 personnes potentiellement concernées) déposaient des données personnelles, dont notamment leur CV. Mais la validation du profil personnel impliquait l'envoi d'un mail avec le désormais classique numéro d'incrément du dossier. Il suffisait de changer ce numéro pour accéder à des données d'autres candidats. La faille provient du module Jobmonster sous Wordpress. La faille ne semble pas, selon Zataz, avoir été exploitée. Les autres utilisateurs de Jobmonster devraient cependant auditer leur site. Ce module est commercial (55 dollars) et n'est pas proposé sur le site officiel de Wordpress.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire