news|

Comment j'ai hacké le site d'images 500PX
'On Air' le 21 Apr 2012 à 14:04:50| 363285 lectures



Follow-me on Twitter or Facebook :
S'abonner ? dominikFoto sur Twitter
Il m'en arrive des choses. Si si... Il faut que je vous raconte celle d'hier soir. Elle vaut son pesant de cacahuètes. L'espace d'une soirée, je suis devenu un "hacker" involontaire...


Introduction (ben oui, car il en faut bien une... :) )


Il y a quelques jours, j'ai d√©cid√© de me remettre un peu √† la page c√īt√© "promotion photo". La plupart de mes contacts consultent mon compte FLICKR ou encore mon blog d√©di√© √† mes travaux photos. J'utilise quotidiennement FACEBOOK pour mes actus et communiquer, mais je n'avais jamais franchi le cap de cr√©er une page Fan Facebook. Jusqu'√† ce d√©but de semaine. Et dans la m√™me logique, je me suis dit : "Ben tiens, pourquoi ne pas essayer 500PX. Une bonne partie de mon entourage a ouvert un compte sur ce site‚Ķ alors √† mon tour !"

J'ai donc créé mon compte il y a 3 jours de cela et suis ainsi devenu - le temps de la période d'essai de 15 jours - un AWESOME user. Durant ce laps de temps, je verrai si j'adopte ou pas cette plateforme de stockage et de promotion d'images dont on me vante tant les mérites. (faut dire que Flickr ne bouge plus du tout... voir semble s'éteindre à petit feu.)

Durant 3 jours, j'ai alimenté ce nouveau compte de quelques photos (7 plus exactement). J'ai commencé à me familiariser à l'interface, au concept. J'ai rempli mon profil sans toutefois trop le renseigner. Pour aller plus vite, j'ai validé ma connexion via la solution proposée par 500PX : "FACEBOOK Connect". Pour les non-initiés, cela consiste à utiliser une identification basée sur mon compte FACEBOOK actuel. J'utilise du coup les mêmes identifiants (ou même session) que celle de FACEBOOK et cela me permet de retrouver plus facilement mes amis contenus dans mon carnet d'adresse. Pratique. Oui… sauf que…


Comment craquer 500PX sans le vouloir...


Hier soir, j'ai d√©cid√© de v√©rifier mes statistiques. Je me connecte en validant ma connexion (via "FACEBOOK Connect") et me retrouve sur la page de 500PX qui m'affiche mon "flow". Etrange, je ne reconnais rien. N'√©tant pas tr√®s habitu√© √† ce site, je relance un rafraichissement de la page et clique sur un autre onglet. Je m'√©tonne toujours de pas reconna√ģtre ce que je vois. Alors je d√©cide de visionner les param√®tres de mon profil‚Ķ et l√†, stup√©faction : je ne suis pas sur mon profil mais sur celui d'un autre utilisateur, un Indon√©sien.





Au bout de quelques minutes, je comprend que je suis confront√© √† un bug d'identification, probablement d√Ľ √† l'utilisation d'une variable de session, ou un truc du genre. Je me prend √† imaginer la probabilit√© d'un hack de mon propre compte : je tente un acc√®s via mon URL direct et l√†, aucun doute, mon compte existe bel et bien. D'ailleurs un acc√®s via un autre poste me donnera raison : j'arrive bien √† acc√©der sur mon compte. Il est toujours l√†, indemne.

Soucieux de vérifier que cette faille découverte involontairement n'est pas un leurre, j'entreprend de tenter une modification du contenu. Et là, sans soucis, je vais pouvoir éditer les différentes informations, allant même jusqu'à inscrire dans la bio un texte expliquant ma mésaventure, texte que je ferai vérifier par un ami en lui demandant de consulter le compte dans lequel je me suis introduit de chez lui. Il confirme bel et bien mon intrusion.

Quelques minutes apr√®s, toujours m√©dus√©, je relance un chargement de ma page. Cette fois-ci, j'acc√®de √† un nouveau compte. Je peux une fois de plus tout parcourir et √©diter le profil. Bien s√Ľr, durant cette intrusion, j'ai effectu√© de nombreuses captures d'√©cran et r√©alis√© des sauvegardes des pages HTML. On n'est jamais trop prudent.




Finalement, je vais finir par "casser" ma connexion en me déconnectant purement et simplement.


Cas isolé ou pas ?


Dans la foul√©e, je d√©cide de pr√©venir 500PX et leur envoie un email d'avertissement, en leur expliquant ma m√©saventure et leur signifiant que l'on se retrouve face √† une faille de s√©curit√© tr√®s - pour ne pas dire extr√™mement - pr√©occupante. Elle l'est d'autant plus que j'aurai pu, sans soucis, changer l'email, puis ensuite le mot de passe afin de m'approprier les comptes, les dits "comptes" qui sont - je le rappelle - pour la plupart payants ! Pire, d'un simple clic, une personne mal intentionn√©e aurait pu √©galement les faire dispara√ģtre en les fermant d√©finitivement. Sympa.

La réponse - rapide - délivrée par la team de 500PX me laisse perplexe :
-----------------------------------
500px Inc.
APR 20, 2012  |  04:33PM EDT
Hello Fusina,

It looks like we have had some issues with Facebook connect, logging in users to the wrong accounts. We are having our developers investigate this issue ASAP.

Should your require further assistance or help please let me know,
Diana from 500px
@detula

-----------------------------------

Selon eux, ils auraient eu un "soucis" provoqué par l'utilisation de la connexion FACEBOOK. Est-ce FACEBOOK les fautifs ou bien 500PX ? quoi qu'il en soit, cela m'a purement et simplement refroidi. C'est pas de chance : j'étais en version TRIAL et je me suis rendu compte que durant cette courte période on pouvait accidentellement - au bout de seulement 5 accès et 3 jours d'essai - craquer un ou plusieurs comptes utilisateurs ! Pas très rassurant.

Je n'imagine pas - et je tiens √† insister l√† dessus - que je puisse √™tre le seul sur la plan√®te a avoir √©t√© le t√©moin (involontaire) de ce bug, m√™me s'il √©tait [pure supposition] limit√© dans le temps. Non, je ne peux le croire. Ou bien, je n'ai sinc√®rement pas eu de chance. Au contraire, je reste persuad√© que cela a d√Ľ arriver √† d'autres utilisateurs mais que personne n'en a fait √©cho. De mon point de vue, ce qui s'est pass√© est gravissime. Surtout sans explication logique ni m√™me volont√© de vouloir hacker un compte. Je rappelle que cela s'est produit sans manipulation particuli√®re, tout simplement en me connectant √† mon compte comme n'importe quel quidam. Quid de la s√©curit√© de l'information et des donn√©es personnelles ?

J'ai cherché à reproduire l'incident qui m'a permis de pénétrer ces comptes. Pour l'instant, je n'ai pas encore pigé même si j'ai quelques soupçons sur un enchainement probable de manipulation qui aurait permis d'arriver à ce résultat. Je n'ai qu'une théorie… non vérifiable. Plus étrange, 500PX ne m'a pas demandé d'explications détaillées à ce sujet (modus operandi ??). Etrange. Auraient-ils déjà été confrontés à ce genre d'incident ?


Pour l'instant, la team de "500PX" ne m'a pas apporté plus de précisions sur cet incident. A-t'il été temporaire ? Ou pas ? Plus inquiétant encore : aucun utilisateur n'a reçu d'avertissement sur une possibilité d'intrusion de leur compte durant cette période.

NB : l'un des profils a disparu pour je ne sais quelle raison. Le second est quant à lui toujours actif.


D'autres en parlent...
- UNDERNEWS : Une importante faille de sécurité sur le site de partage de photos 500PX




Articles liés (500PX )

- Comment j'ai hacké le site d'images 500PX

Vos commentaires :
Aucun commentaire pour l'instant

Exprimez-vous...
Nom ou pseudo (obl.)
Email (obl.)
Web
Titre
Message (req.)
Captcha
Recopiez ce code...
>>>
dominikfoto - View my recent photos on Flickriver

©2009, Fusina Dominik - All contents are copyrighted