Vu que l'identifiant est à 9 chiffres, ça ne m'étonne pas qu'on puisse le brute-forcer :/

On en parle sur nextinpact