Leak des trigrammes existants

Description

Lorsqu'on consulte son compte K-Fêt, on tombe sur la page eg. k-fet/accounts/LIQ. En modifiant cette URL pour changer le trigramme, avec un compte « standard », la réponse est soit 403 soit 404, selon si le trigramme existe ou pas.

Problème ?

Ce comportement peut être, ou non, considéré comme un problème — veut-on qu'on puisse check l'existence d'un trigramme en ligne ? Dans tous les cas, le fait qu'on y ait accès via un hack d'URL est une mauvaise chose, et les réponses devraient être uniformément 404, avec éventuellement un outil quelque part pour check si un trigramme existe.