Changer un identifiant dans l'URL, c'est si simple.

Sur un forum cybercriminel, un certain « breach3d » a mis en vente une base de 18 à 19 millions d'enregistrements, présentée comme issue des systèmes de l'ANTS. Le vecteur d'attaque revendiqué est une vulnérabilité IDOR (Insecure Direct Object Reference) sur l'API du portail moncompte.ants.gouv.fr. Il suffisait de modifier un identifiant dans une requête pour consulter les données d'un autre citoyen.