Source : billet de blog personnel (février 2026). Contexte : un instructeur de plongée et ingénieur plateforme relate la découverte (avril 2025) d’une faille critique d’authentification sur le portail membres d’un grand assureur de plongée immatriculé à Malte, puis son parcours de divulgation coordonnée et la réponse juridique reçue.

• La vulnérabilité reposait sur des identifiants utilisateur numériques séquentiels utilisés pour la connexion et un mot de passe par défaut statique non imposé au changement lors de la première connexion, sans limitation de débit, verrouillage de compte ni MFA. Cela permettait d’accéder aux données personnelles (nom, adresse, email, téléphone, date de naissance) d’utilisateurs, y compris de mineurs. Le chercheur a confirmé le minimum nécessaire et a cessé ses vérifications. Divulgation initiale le 28 avril 2025 avec embargo de 30 jours (jusqu’au 28 mai 2025).

• Conformément à la NCVDP maltaise, il a d’abord saisi le CSIRT Malta, puis l’organisation en copie. La réponse est venue du cabinet d’avocats du DPO : tout en indiquant réinitialiser les mots de passe par défaut et déployer la 2FA, ils ont reproché l’alerte aux autorités, invoqué l’article 337E du Code pénal maltais (computer misuse), exigé une « déclaration » assimilable à une NDA (avec copie de passeport, promesse de suppression des données et confidentialité stricte), et menacé de poursuites en cas de publication. Le chercheur a refusé la confidentialité globale mais proposé de confirmer la suppression des données; l’organisation a réitéré ses objections à toute mention publique.

• Selon l’auteur, la faille a depuis été corrigée (mots de passe par défaut réinitialisés, 2FA en cours de déploiement). Il souligne ne pas avoir reçu de confirmation de notification aux utilisateurs potentiellement affectés, alors que les articles 33 et 34 du RGPD peuvent l’exiger en cas de risque élevé, et rappelle les obligations du responsable de traitement (articles 5(1)(f) et 24(1)). L’organisation aurait, de son côté, attribué la responsabilité aux utilisateurs pour ne pas avoir changé leur mot de passe.

• L’article replace l’affaire dans un schéma plus large de chilling effect où des chercheurs, après divulgation responsable, reçoivent des menaces juridiques, nuisant in fine à la réputation des organisations. Il dresse aussi la liste de « ce qui aurait dû se passer » (accusé de réception, correctif, remerciements, politique CVD/security.txt, notification des utilisateurs, absence d’entraves par NDA).

• IOCs et TTPs:

  • IOCs: aucun indicateur technique fourni.
  • TTPs: énumération d’IDs séquentiels, mots de passe par défaut réutilisés, absence de changement de mot de passe à la première connexion, pas de rate limiting, pas de verrouillage de compte, absence de MFA, exposition de données personnelles (incluant mineurs).

Cet article est une rétrospective de divulgation de vulnérabilité visant à documenter la faille, la chronologie de correction et la réponse de l’organisation.

🔗 Source originale : https://dixken.de/blog/i-found-a-vulnerability-they-found-a-lawyer