DeepSpecter.com a mené une enquête approfondie révélant une exposition de données sur plusieurs années impliquant Uffizio, un fournisseur de logiciels pour une plateforme de gestion de flotte GPS largement utilisée. Malgré une conformité revendiquée au RGPD, le logiciel d’Uffizio et son déploiement par des centaines de revendeurs mondiaux ont laissé fuiter des données sensibles de flotte dans au moins 12 pays pendant plus de cinq ans, même après une divulgation publique de CVE et un audit interne de conformité RGPD.
Les données divulguées comprenaient des identifiants SIM, des plaques d’immatriculation, des noms d’entreprises, des IMEI de traceurs et des activités en temps réel, cartographiant efficacement le mouvement de milliers de véhicules, y compris ceux opérés par la police, les ambulances, les flottes municipales et même les fournisseurs d’énergie nucléaire.
Le fait qu’Uffizio ait rapidement corrigé son logiciel alors que l’exposition continuait ailleurs souligne un problème plus large : la chaîne de livraison était défaillante. Cette situation met en lumière que la conformité ne suffit pas. Les entreprises responsables d’actifs réels et de vies humaines ne peuvent pas se permettre de traiter la sécurité comme une simple formalité.
L’article conclut que l’absence de surveillance active transforme la conformité réglementaire en un faux sentiment de protection, soulignant que le risque est réel, l’impact est humain, et que le silence n’est plus une option. L’objectif principal de l’article est de sensibiliser à l’importance d’une sécurité proactive au-delà de la simple conformité réglementaire.
🔗 Source originale : https://reporter.deepspecter.com/the-gps-leak-no-one-talked-about-uffizios-silent-exposure-03b5dfb23556