Inscription
Secteurs
Publications
A propos
Connexion
PROPAGANDE

Notification RGPD : Diffusion de données sensibles (IP)

Posté par Babiole le 13/12/2023 pour le secteur DMZ
🌍 Article public ⸱ 823 lecteurs récemment

Date : Mercredi 12 décembre 2023, 15h

Nous tenons à vous informer qu’une faille de sécurité a été identifiée sur notre plateforme ce jour à midi. Cette vulnérabilité permettait, via la console système du navigateur, de retrouver les adresses IP des utilisateurs au moment de l’upload d’une photo. L’adresse IP étant considérée comme une donnée personnelle selon le Règlement Général sur la Protection des Données (RGPD), sa potentielle exposition nous oblige à vous notifier cet incident.


Détails de la faille :

Horodatage de la découverte et de la résolution : Découverte à midi, corrigée à 16h30 le même jour.

Portée de la vulnérabilité : Concernait l’ensemble des 100 000 profils utilisateurs de notre forum.

Impact : Aucun signe d’exploitation malveillante de cette vulnérabilité n’a été détecté.


Actions entreprises :

Conformément à l’article 33 du RGPD, il est impératif de notifier les utilisateurs dans un délai de 72 heures après en avoir pris connaissance. Nous prenons la sécurité des données très au sérieux et nous nous excusons pour les inconvénients causés. Nous restons engagés à protéger votre vie privée et à renforcer la sécurité de notre plateforme.


Merci pour votre compréhension et votre soutien continu.

Charly & l’équipe STAFF



PS : Pour remercier notre gentil utilisateur, je vais devoir lui imprimer "un beau goodies [paranoïaque] à capuche"... Grummblblblblblb.


31 commentaires
Ustensile
()
On doit paniquer ? 🫠
Appareil
()
#1592292 : non.... : ]
Appareil
()
#1592293 Parfait 😊
Babiole
()
Merci de l'information qui est un brin stressante
Appareil
()
Oulaaaa....
Brol
()
Au moins c'est un sacré bug de régler.

ça me rappel pourquoi je m'amusais à regarder le code source des pages web (même au boulot :) ) pour trouver les failles a faire remonter.
Fait longtemps que je ne l'ai pas fait d'ailleurs...
Instrument
()
Ok merci pour l’info
Appareil
()
Les autres informations sensibles sont la position géographique disponible dans le geoscan et les photo du visage dans les galeries. C"est une information disponible librement pour les membres.

les anciennes IP sont pas trop problématique. on diffuse ’info car la réglementation le demande : )
Appareil
()
Pas besoin d'une faille de sécurité pour nous rendre Parano. 😜
Ustensile
()
N'ayez crainte, l'Ordinateur veille.
Artifice
()
#1592299 : Si t'en trouves, Charly offre un hoodie... 😆
Truc
()
Owi une boutique à goodies
Gadget
()
#1592302 : Pour la disposition géographique beaucoup de gens laissent sur un autre gros réseau (FB pour ne pas le nommer) en public visible par la terre entière donc bon.... :D
Objet
()
Ce n'est pas un incident. Le Maître l'a voulu ainsi.
Objet
()
#1592292 :

Ça c'est toi qui voit... Tu fais ce que tu veux dans ton lit !
Instrument
()
#1592311 😶‍🌫️je note, très bien !
Truc
()


est-ce cette faille qui faisait que lorsque je me connectais via d'autres navigateurs que Firefox j'avais une page me conseillant de ne pas continuer sur le site car il y avait des erreurs et protocole et donc une vulnérabilité ?
J'ai commencé à avoir cela il y a 4-5j je pense.
Bidule
()
Tiens, c'est marrant, cet incident aura lieu dans le futur puisque Charly a écrit "Date : Mercredi 12 décembre 2024" 😁
Fourbi
()
#1592314 Bien joué ! Je n'avais pas vu.
Barda
()
(C'était pour voir si vous suiviez)
Artifice
()
Au regard de la faille, cette "notification" ne me semble pas répondre à l'impératif légal.
Il me paraît assez optimiste de dire qu'il n'y a aucune trace d'exploitation de ces données. Si aucune extraction groupée n'est repérée, c'est une chose, mais il est tout à fait possible d'avoir exploité des données "ciblées".
(Et non, pas besoin de me qualifier d'emmerdeur, je suis parfaitement au courant.)
Machin
()
#1592324 :

On est sensé suivre qui ?
Chose
()
#1592326 : Alors, là, c'est une bonne question... Faut demander à Martin, il sait plus de choses que moi !
Machin
()
#1592327 :

*Cherche Martin*

Maaaaartin ? Où es-tu ?
Chose
()
#1592325 : toi je ne te connaissais pas avant mais je t'aime.
ce passage m'a effectivement fait sourire légèrement.

Ainsi que "actions entreprises : vous prévenir. Point." :'-)
Instrument
()
On ne panique pas... Après tout c'est Parano, mais merci de prévenir.
Brol
()
#1592313 : j’ai eu cela en octobre et je me suis dis que depuis mon VPN n’est pas toujours activé …bravo -_-
Babiole
()
#1592325 : Apparemment elle répond aux exigences légales en vigueur, soit :

Art. 33 RGPD
Art. 81 ss GDPR des Guidelines du 09/2022 ici en anglais :

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_fr

A noter qu'une faille considérée comme peu conséquente n'a pas à être annoncée aux autorités, cela dépend de son ampleur, des moyens à mettre dessus (principe) et des conséquences qu'elle pourrait avoir.
Bidule
()
#1592333 : C'est de la notification aux usagers dont je parle (puisque c'est l'objet de l'article).
Objet
()
#1592340 : C'est de ça que parlent justement les articles de loi évoqués, de l'obligation de la notification, avec les conditions et le contenu requis légalement.
Chose
()
#1592341 : On ne lit donc pas la même chose. (Surtout que tu parles des "autorités" dans ta première réponse.
(Vous n'avez pas (encore) les droits nécessaires pour répondre à cet article)
© v24.415 - 2003-2023 [paranoïaque] - Les CGU - Réseau social discret - Rien du tout -