Notre confrère Zataz a révélé une faille désormais assez classique sur de nombreux sites web, concernant cette fois l'espace emploi du site des restaurants Flunch. Dès que l'enseigne a été informée, l'espace emploi a été mis hors ligne par précaution. La CNIL a aussitôt été notifiée de l'incident.
Créée en 1991 par le groupe Auchan, Flunch est une des marques de Agapes Restauration, branche restauration de l'Association familiale Mulliez, aux côtés d'enseignes comme Pizza Paï et Les Trois Brasseurs. Flunch dispose de 200 restaurants en France (170 établissements), Espagne, Portugal, Italie, Pologne, et Russie.
Sur l'espace emploi du groupe, les candidats (33 572 personnes potentiellement concernées) déposaient des données personnelles, dont notamment leur CV. Mais la validation du profil personnel impliquait l'envoi d'un mail avec le désormais classique numéro d'incrément du dossier. Il suffisait de changer ce numéro pour accéder à des données d'autres candidats. La faille provient du module Jobmonster sous Wordpress. La faille ne semble pas, selon Zataz, avoir été exploitée. Les autres utilisateurs de Jobmonster devraient cependant auditer leur site. Ce module est commercial (55 dollars) et n'est pas proposé sur le site officiel de Wordpress.
Commentaire