Ce mardi 23 février, des utilisateurs de l'application mobile de la banque LCL ont eu la mauvaise surprise de découvrir en se connectant à leur compte les infos bancaires... d'autres clients !
Je suis choquée. En me connectant sur mon app @LCL j’ai eu accès aux comptes de quelqu’un d’autre, une certaine Caroline, ses dépenses, tous ses comptes, son épargne avec les montants 😱😱😱 Euuuuh ça se passe comment niveau sécurité @LCL ???
— Alexia Toulmet (@atoulmet) February 23, 2021
L'incident, qui selon LCL est survenu à 17h40 et aurait pris fin une heure plus tard, n'est pas le résultat d'une cyberattaque mais d'une mise à jour de l'appli dans le cadre de la livraison d'une évolution.
Au cours de cette heure, 72 000 utilisateurs auraient accédé à l'application mobile de la banque, mais cette dernière précise que seules quelques centaines de personnes auraient été concernées par ce bug.
"Ah, seulement quelques centaines ? Bon ben ça va alors !"
Les connexions à l'application ont ensuite été désactivées de manière temporaire avant qu'une nouvelle mise à jour ne permette de rétablir la situation.
LCL précise que ce malencontreux bug ne permettait pas d'identifier de manière personnelle les clients détenteurs des comptes exposés ni d'effectuer d'opérations en leur nom.
Le DPO de LCL :
La banque n'en est pas à son premier LCFail (vous l'avez ? 👀) : en septembre 2020, certains de ses clients s'étaient retrouvés prélevés 2 fois pour leurs virements. Le bug avait alors mis 8 jours à être corrigé.
Et à toi, le développeur qui a dû pusher ton évol en prod en fin de journée, si tu me lis : force à toi 💪 et t'inquiète, on sait tous que c'est bien évidemment la faute de ton PO. 😉
