Que faire si j'ai trouvé une faille sur un site à 3M de visiteurs par mois ?

28 mai 2011

Le 26/05/2011 à 15h

dailybooth inc.

Connaissez-vous Dailybooth ?
Il s'agit d'un réseau social à la Twitter, sauf qu'il est centré sur les images. Il ne comptait pas moins de 3 millions de visiteurs uniques par mois en 2009.
Sur un compte, j'ai découvert une curieuse erreur dans la sidebar.

Je regarde donc le code source de la page pour en savoir plus :
Il se trouve que j'ai accès à un dump d'un certain nombre de variables, dont :

  • Le nom d'utilisateur
  • L'adresse email du compte
  • Le hash du mot de passe (le mot de passe sous une forme crypté)
En a peine 3 minutes sur un moteur de recherche, je trouve le mot de passe. (allez-y, confiez vos infos personnelles à n'importe qui).

Et maintenant, je fais quoi ?

Je viens de contacter dailybooth par Twitter, et par courriel. J'espère qu'ils sauront être réactif. J'ai aussi contacté les utilisateurs concernés pour qu'ils changent les mots de passe de leur autres comptes (pas celui de Dailybooth, j'y ai accès).

Une erreur très critique qui touche plusieurs comptes

Je découvre d'autres comptes atteints. Ça frise la catastrophe.

Il faut attendre qu'ils corrigent la faille

Maintenant, il n'y a plus qu'une chose à faire : attendre qu'ils corrigent la faille. Il ne faut surtout pas alerter d'autres personnes. D'ailleurs, je pense que mon twit est de trop. J'écris cet article en attendant, mais le laisse bien sagement dans les brouillons.

Temps de réaction

  • h+0h39 : Pas de réponse, le message d'erreur est toujours visible.
  • h+1h00 : toujours rien. Si j'avais été black hat, qu'aurais-je eu le temps de faire ? Ça laisse rêveur, mais l'éthique vaut beaucoup plus.
  • h+24h : Rien. Contact de deux employés par Twitter et about.me.
  • h+29h : Le contact avec les deux employés semble avoir porté ses fruits. Voilà les erreurs ne s'affichent plus.
  • h+33 : J'ai une réponse de Brian, le directeur général de Dailybooth me remerciant. Ils se chargent de corriger le problème.

Des conclusions ?

Encore un exemple de ce que tout le monde répète depuis des années : utilisez des mots de passes différents pour tous les services ! Il ne faut pas oublier que si on a le mot de passe d'une boite mail, on peut accéder à quasi n'importe quel service qui y sont reliés (facebook, youtube...).

Deuxième conclusion, j'aurai peut être fais gagner 24h à l'entreprise si j'avais contacté directement les employés, bien qu'après tout, ce n'est peut être pas à moi de faire ça : je n'ai même pas de compte sur ce réseau ! Mais c'est l'esprit white hat, que voulez-vous !

Rédigé par Amaury Graillat - 1 commentaire

Classé dans : Geek, WebDev (PHP et SEO)

Mots clés : aucun

Je suggère aussi

1 commentaire

#1 jeudi 16 mai 2013 @ 22:36 tony a dit :

GG !

Fil RSS des commentaires de cet article

Les commentaires sont fermés.