Le hacker ChimeraZ revendique l’accès à des données issues de HomePad, une solution utilisée par les professionnels de l’immobilier pour accompagner les entrées et sorties de locataires.
Selon la publication, les données concerneraient plus de 625 000 personnes réparties dans près de 304 000 dossiers locatifs. L’ensemble représenterait environ 119 Mo de données au format JSON.
Des données locatives rendues accessibles
Les échantillons publiés montrent des informations liées à des dossiers d’entrée et de sortie de locataires, utilisés dans le cadre de la gestion locative.
- Noms et prénoms ;
- Adresses e-mail ;
- Numéros de téléphone ;
- Informations relatives aux dossiers locatifs ;
- Dates de création des dossiers ;
- Dates de signature ;
- Nombre de photographies associées aux dossiers ;
- Nombre de remarques et observations enregistrées.
Les exemples consultés montrent des dossiers liés à des procédures d’entrée et de sortie de logement ainsi qu’à leur suivi administratif.
Selon les informations communiquées à Cyberattaque.org après publication, les données concernées ne comprendraient pas de données bancaires ou financières sensibles.
Une vulnérabilité de type IDOR évoquée
D’après les éléments transmis à Cyberattaque.org, l’incident ne résulterait pas d’une intrusion dans l’infrastructure de HomePad ni d’une compromission de sa base de données.
L’accès aux informations aurait été rendu possible par l’utilisation d’un compte compromis associé à une vulnérabilité de type IDOR (Insecure Direct Object Reference), permettant d’accéder à des dossiers auxquels le compte ne devait normalement pas avoir accès.
Un outil utilisé dans l’immobilier
HomePad est utilisé par des agences immobilières, administrateurs de biens et gestionnaires locatifs pour accompagner les états des lieux, les entrées et les sorties de locataires.
Ces outils centralisent certaines informations nécessaires au suivi des dossiers locatifs et aux échanges entre les intervenants impliqués dans la gestion d’un logement.
Quels risques pour les personnes concernées ?
Même en l’absence de données bancaires ou financières, la présence de coordonnées personnelles et d’informations liées à des démarches locatives peut être exploitée dans le cadre de campagnes de phishing ciblées ou d’usurpation d’identité.
Des cybercriminels pourraient notamment utiliser ces informations pour se faire passer pour une agence immobilière, un gestionnaire ou un autre intervenant lié à un dossier immobilier afin de gagner la confiance des personnes concernées.
L’accès frauduleux corrigé
Au moment de la publication, HomePad indique avoir corrigé l’accès frauduleux.
L’origine précise des données publiées ainsi que l’étendue réelle des informations accessibles restent à confirmer.