Faille d’authentification chez un assureur de plongée à Malte et riposte juridique contre le chercheur
Source : billet de blog personnel (février 2026). Contexte : un instructeur de plongée et ingénieur plateforme relate la découverte (avril 2025) d’une faille critique d’authentification sur le portail membres d’un grand assureur de plongée immatriculé à Malte, puis son parcours de divulgation coordonnée et la réponse juridique reçue. • La vulnérabilité reposait sur des identifiants utilisateur numériques séquentiels utilisés pour la connexion et un mot de passe par défaut statique non imposé au changement lors de la première connexion, sans limitation de débit, verrouillage de compte ni MFA. Cela permettait d’accéder aux données personnelles (nom, adresse, email, téléphone, date de naissance) d’utilisateurs, y compris de mineurs. Le chercheur a confirmé le minimum nécessaire et a cessé ses vérifications. Divulgation initiale le 28 avril 2025 avec embargo de 30 jours (jusqu’au 28 mai 2025). ...