Twitter, Amazon, LinkedIn : gravement fissurés

Actualités - Alerte - Posté on 17 Sep 2014 at 4:01 par cnis-mag

CarlMilner C’est la Quinzaine du trou dans le Cloud.Et l’on commence avec le moins profond, découvert par B.FL7.DE (prononcer bfl7de) qui a découvert une faille en cross-site scripting via le mécanisme de commande d’ebook Kindle, faille qui pourrait offrir un accès au compte Amazon de la victime. Un code de démonstration est fourni par l’auteur.

Chez Twitter, on a eu chaud. Aboul-Ela, chercheur et blogueur sécu Egyptien, a découvert deux superbes csrf qui permettent de supprimer tous les numéros de cartes de crédit des personnes inscrites sur ads.twitter.com, le serveur de gestion/facturation des messages publicitaires Twitter. En générant de manière brutale un code à 6 chiffres, les créances de tous les annonceurs peuvent être répudiées. Du jour au lendemain le réseau social perd tous ses clients, Jack Dorsey, Evan Williams, Biz Stone et Noah Glass sont réduits à la mendicité et 80% de la presse Française est contrainte de renouer avec le journalisme d’investigation. Franchement, ça fait peur. Le problème a été, reconnait le chercheur, résolu en deux jours.

Chez LinkedIn, ce sont les identités et emails des abonnés au service qui auraient pu faire l’objet d’une fuite massive, nous révèle Brian Krebs. Lors d’une mise en relation par le truchement d’un intermédiaire (un parrain LinkedIn en quelques sortes), et dans le but de préserver la « vie sociale privée » de chacun, tout abonné au service peut demander d’obtenir l’adresse email du solliciteur. Un mécanisme semblable est mis en œuvre lors de l’ouverture d’un nouveau compte LinkedIn. Le moteur du réseau social vérifie, en balayant les adresses de messageries rencontrées sur les comptes mails publics de l’abonné, si certaines personnes ne feraient pas déjà partie de sa sphère sociale. Ce qui a donné l’idée à certain chercheurs de Rhino Security Labs de truffer une fausse boîte mail avec des alias smtp tout à fait probables (genre Britney.spears@hotmail.com ou BarrackO@whitehouse.gov- pour ensuite utiliser LinkedIn à la façon d’un formidable outil de confirmation de validité et de mise en relation.

Laisser une réponse