Faille : une application iPhone expose des photos privées
Qu'ouïe-je ? Des photos privées sur Internet ? Erreur dans les termes...
Des milliers de photographies privées échangées entre utilisateurs de l’application iPhone Quip circulent sur Internet à cause d’une faille de sécurité. En effet, l’entreprise Addy Mobile qui propose ce produit hébergeait les images échangées par ses utilisateurs sur un serveur non protégé. De plus, les images se voyaient attribuer une adresse composée de seulement 5 caractères aléatoires.
Des pirates ont simplement programmé un générateur d’URL exploitant cette faiblesse et ont obtenu des milliers de photos en brute force. Pour faciliter encore plus leur travail, Addy Mobile avait oublié d’empêcher l’indexage des pages de ses utilisateurs par les moteurs de recherche. Certaines images apparaissaient donc directement dans Google.
Face à la polémique qui menaçait de leur enfoncer la tête sous l’eau, et pour empêcher les barracudas et autres prédateurs marins de voler d’autres données personnelles, Ish, le fondateur de cette petite entreprise de 3 personnes, a déconnecté les serveurs.
Il a déclaré : « nous empêchons dorénavant tous les accès S3 et avons commencé à sécuriser systématiquement tous les fichiers du système. Nous ne le remettrons pas en ligne tant que nous n’avons pas une sécurité adéquate pour tous les fichiers partagés avec Quip. Je m’excuse auprès de nos utilisateurs pour cette atteinte à la sécurité et promets que nous ferons tout ce qui est en notre pouvoir pour nous assurer qu’aucune de leurs informations ne sera exposée quand le service sera rétabli ».
Des pirates ont simplement programmé un générateur d’URL exploitant cette faiblesse et ont obtenu des milliers de photos en brute force. Pour faciliter encore plus leur travail, Addy Mobile avait oublié d’empêcher l’indexage des pages de ses utilisateurs par les moteurs de recherche. Certaines images apparaissaient donc directement dans Google.
Face à la polémique qui menaçait de leur enfoncer la tête sous l’eau, et pour empêcher les barracudas et autres prédateurs marins de voler d’autres données personnelles, Ish, le fondateur de cette petite entreprise de 3 personnes, a déconnecté les serveurs.
Il a déclaré : « nous empêchons dorénavant tous les accès S3 et avons commencé à sécuriser systématiquement tous les fichiers du système. Nous ne le remettrons pas en ligne tant que nous n’avons pas une sécurité adéquate pour tous les fichiers partagés avec Quip. Je m’excuse auprès de nos utilisateurs pour cette atteinte à la sécurité et promets que nous ferons tout ce qui est en notre pouvoir pour nous assurer qu’aucune de leurs informations ne sera exposée quand le service sera rétabli ».
Source :
New.com.au
Jeff
le 1 avril 2010 à 14:25
(22 152
lectures)
Actualités et brèves relatives
- 01 / 04 / 2010 : Un chercheur (re)découvre l’insécurité du format PDF
- 30 / 03 / 2010 : Mise à jour de sécurité exceptionnelle chez Microsoft
- 25 / 03 / 2010 : Concours Pwn2Own : tous les navigateurs ont été piratés
- 23 / 03 / 2010 : Firefox 3.6.2 corrige une faille de sécurité critique
- 19 / 03 / 2010 : OS X : Charlie Miller dévoilera 20 failles 0-day à la fin du mois
- 17 / 03 / 2010 : Faille de sécurité sur le fichier clients de Voyages-sncf.com
- 11 / 03 / 2010 : La récente faille 0-Day d’Internet Explorer déjà exploitée
- 19 / 02 / 2010 : Microsoft : le rootkit Alureon responsable de BSOD sur XP
