Groupon laisse fuiter « par mégarde » les comptes de ses clients en Inde

La filiale indienne de Groupon, Sosasta.com, a « accidentellement » publié sur Internet sa base de données utilisateurs en entier.

Les 300 000 e-mails et mots de passe de ses membres étaient visibles en clair dans un fichier .sql.

Le comble étant que ce fichier a été indexé par Google.

C’est d’ailleurs comme cela que l’expert australien en sécurité Daniel Grzelak l’a découverte.

Il cherchait sur le moteur de recherche des bases de données pour alimenter son site Shouldichangemypassword.com, qui rassemble tous les comptes compromis par des hackers puis rendus publics. Il rassemble par exemple tous les comptes publiés par LulzSec.

Il propose aux internautes de comparer leur adresse courriel à cette liste pour savoir si leurs comptes pourraient être en danger.

Tombé sur la base de Groupon par hasard, il a hésité sur la marche à suivre pour avertir la société Internet sans avoir à révéler l’existence de la faille au grand public.

Il a donc contacté le site Internet d’actualité sur la sécurité informatique Risky.biz, qui s’est chargé d’entrer en relation avec Andrew Mason, P-DG fondateur de Groupon.

En 24 heures, la base de données était de nouveau sécurisée.

« Nous avons commencé à prévenir nos utilisateurs en leur conseillant de changer leur mot de passe Sosasta dès que possible », explique Groupon/Sosasta dans un communiqué.

« Nous tiendrons nos membres inscrits totalement informés quand nous en saurons plus. »

La société Internet promet aussi de totalement revoir ses procédures de sécurité en Inde et précise que les autres régions d’implémentation sont pas touchées.