Une base de données attribuée à Vacances Lagrange, acteur français spécialisé dans les résidences de vacances et locations touristiques, circule actuellement dans des espaces fréquentés par des cybercriminels.
À l’origine de cette revendication, on retrouve une nouvelle fois le hacker ChimeraZ, déjà impliqué dans plusieurs cyberattaques et fuites de données récentes visant le secteur du tourisme et de la location saisonnière en France.
Depuis plusieurs jours, le même acteur revendique en effet des compromissions touchant différents acteurs majeurs du voyage et des vacances, avec des bases liées à des réservations touristiques, des plateformes de location ou encore des réseaux d’hébergements.
Selon les revendications publiées, plus de 44 000 personnes pourraient être concernées par cette potentielle compromission. Les données évoquées porteraient principalement sur des réservations touristiques, des séjours clients ainsi que des informations associées aux logements et prestations.
Une compromission qui aurait touché des réservations touristiques
D’après les informations revendiquées par ChimeraZ, les données concerneraient plusieurs années de réservations effectuées via les services de Vacances Lagrange.
Le pirate affirme notamment avoir eu accès à :
- des références de réservations ;
- des noms et informations de vacanciers ;
- des dates d’arrivée et de départ ;
- des détails liés aux logements réservés ;
- des informations sur les occupants et participants ;
- des prestations et assurances souscrites ;
- des montants et informations tarifaires ;
- des commentaires et demandes laissés par certains clients ;
- des informations liées à des agences ou vendeurs partenaires.
Une faille de type IDOR évoquée
Selon les éléments avancés par le hacker, la compromission reposerait potentiellement sur une vulnérabilité de type IDOR (Insecure Direct Object Reference).
Ce type de faille permet théoriquement à un utilisateur authentifié d’accéder à des ressources ou données auxquelles il ne devrait normalement pas avoir accès, simplement en modifiant certains identifiants présents dans des requêtes ou URLs.
Le pirate affirme également que l’accès aurait été réalisé à partir d’un compte professionnel compromis, permettant d’accéder à différentes réservations et informations associées aux séjours clients.
Des données particulièrement sensibles pour des vacanciers
Les échantillons évoqués dans les revendications contiendraient des informations détaillées sur des séjours touristiques : logements réservés, périodes de vacances, nombre d’occupants, montants payés ou encore commentaires laissés lors des réservations.
Certains commentaires associés aux réservations pourraient également révéler des habitudes de voyage, des périodes d’absence du domicile ou des préférences personnelles des vacanciers concernés.
À ce stade, aucun élément indépendant ne permet de confirmer l’ampleur exacte de la compromission revendiquée.