Pierre & Vacances-Center Parcs a été victime cette semaine d’une importante fuite de données sur sa plateforme de réservation La France du Nord au Sud, un incident qui a exposé des informations personnelles et oblige désormais le groupe à prévenir individuellement les clients concernés.
Selon l’entreprise, l’attaque a permis d’accéder frauduleusement à ses bases de données via une vulnérabilité de type IDOR, après plusieurs semaines de scraping des informations affichées sur le site. Les données extraites couvriraient plus de deux décennies de réservations et porteraient sur 1,6 million de réservations, avec un potentiel historique remontant à 10 ans.
Le groupe a indiqué que ses équipes techniques avaient identifié puis corrigé la faille, avant de déployer immédiatement des mesures techniques et correctives pour sécuriser les systèmes touchés et empêcher un nouvel incident. Il a aussi précisé qu’aucune donnée bancaire et qu’aucune adresse e-mail n’avaient pu être collectées.
Les données compromises comprennent notamment le numéro de dossier, le logement choisi, les dates de réservation, la liste des passagers ou occupants, leurs dates de naissance, le numéro de téléphone du client et des commentaires sur les options sélectionnées. La société a déposé plainte contre X auprès des autorités compétentes vendredi matin et a également informé la Cnil.
La France du Nord au Sud sert de système de réservation pour louer des appartements, des mobil-homes et des maisons à travers les marques du groupe, dont Maeva Club, Maeva Home, Pierre et Vacances et Center Parcs. Le Parisien a indiqué que plus de 4,5 millions de clients actuels et anciens pourraient être concernés, alors que le groupe exploite plus de 300 sites.
Cette affaire place Pierre & Vacances-Center Parcs face à une obligation immédiate de transparence auprès de millions de personnes, mais aussi à une question plus large sur la durée pendant laquelle des données visibles sur une plateforme ont pu être aspirées sans alerte massive.
