Une simple modification de l’URL du navigateur permettait d’ouvrir des messages de façon aléatoire et sans sécurisation.
Il était possible, sans aucune connaissance technique, d’accéder à des informations privées et potentiellement sensibles.
Les courriers envoyés par l’assurance maladie aux assurés sont stockés sous forme de PDF dans l’espace personnel de chaque utilisateur. En modifiant simplement le chiffre contenu dans l’URL, n’importe quel usager pouvait alors lire les documents appartenant à d’autres personnes. Cette faille ne permettait pas de cibler une personne en particulier, mais donnait accès à des noms, prénoms, adresses, numéros de Sécurité sociale ou encore attestations de prise en charge.