Un correctif récemment Un bogue de sécurité sur une plate-forme populaire d’assistance aux créateurs montre comment même les plates-formes axées sur la confidentialité peuvent mettre en danger les informations privées des créateurs.

Throne, fondée en 2021, se présente comme « un service de liste de souhaits de conciergerie entièrement sécurisé qui agit comme un intermédiaire entre vos fans et vous ». Throne prétend soutenir plus de 200 000 créateurs en expédiant des milliers d’éléments de leur liste de souhaits par jour, tout en protégeant la confidentialité de l’adresse personnelle des créateurs.

L’idée est que les créateurs en ligne, comme les streamers et les joueurs, peuvent publier une liste de souhaits de cadeaux que les supporters peuvent acheter, et Throne agit comme intermédiaire. « Vos fans paient pour les cadeaux et nous nous occupons du reste », lit-on sur son site Web. « Nous nous assurons que le paiement est traité, que l’article est envoyé et, plus important encore, que vos informations privées restent privées. »

Mais un groupe de pirates de bonne foi a découvert une vulnérabilité qui sapait cette affirmation et exposait les adresses personnelles privées de ses utilisateurs créateurs.

Entrer Zerforschung, le collectif allemand de chercheurs en sécurité à l’origine de sa dernière découverte. Vous vous souvenez peut-être du collectif de décembre lorsqu’il a trouvé et divulgué des bogues de sécurité majeurs dans l’alternative aux médias sociaux Hive, qui est devenu populaire lors de l’exode de Twitter sous le nouveau propriétaire d’Elon Musk. Hive s’est brièvement arrêté pour corriger les vulnérabilités trouvé par Zerforschungqui permettait à quiconque de modifier les messages de n’importe qui d’autre et d’accéder aux messages privés d’autres personnes.

Publicité

Zerforschung a déclaré à fr.techtribune.net qu’ils avaient découvert la vulnérabilité dans la façon dont l’entreprise a configuré sa base de données, hébergée sur Firebase de google, pour stocker des données. Les chercheurs ont déclaré que la base de données avait été configurée par inadvertance pour permettre à quiconque sur Internet d’accéder aux données qu’il contient, y compris les cookies de session pour ses comptes Amazon à partir de la base de données, qui peuvent être utilisés pour accéder à un compte sans avoir besoin du mot de passe.

Les cookies de session sont de petits morceaux de code qui se trouvent sur votre ordinateur ou votre appareil pour garder les utilisateurs connectés aux applications et aux sites Web sans avoir à saisir à plusieurs reprises un mot de passe ou à se connecter avec une authentification à deux facteurs. Étant donné que les cookies de session maintiennent l’utilisateur connecté, ils peuvent constituer une cible attrayante pour les pirates car ils peuvent être utilisés pour se connecter comme s’ils étaient cet utilisateur. Cela peut également rendre plus difficile la détection lorsqu’une personne autre que l’utilisateur abuse d’un cookie de session.

Avec ces cookies de session Amazon, les chercheurs en sécurité ont découvert qu’ils pouvaient accéder au compte Amazon de Throne utilisé pour commander et envoyer des cadeaux à partir de la liste de souhaits d’un créateur, sans jamais avoir besoin d’un mot de passe. Les chercheurs ont déclaré que toute personne disposant des mêmes cookies de session, en fait les clés du compte Amazon de Throne, pouvait se connecter et consulter des milliers de commandes ainsi que les noms et adresses de leurs créateurs.

Zerforschung a démontré le bogue lors d’un appel vidéo avec fr.techtribune.net la semaine dernière, nous permettant de vérifier leurs conclusions. Les chercheurs nous ont montré les milliers de commandes passées via le compte Amazon de Throne au cours des derniers mois, montrant que les noms et adresses des créateurs que Throne prétendait protéger ont été exposés.

Le collectif de chercheurs a signalé le bogue à Throne plus tard le même jour. Throne a corrigé le bogue peu de temps après et a confirmé la faille de sécurité dans un article de blog publié cette semaine, remerciant Zerforschung pour leurs découvertes.

« Fin mars, une version de Throne a été livrée avec des règles Firestore mal configurées. Cela a permis aux chercheurs en sécurité de lire certaines données qui n’auraient pas dû être disponibles, telles que les adresses IP bloquées que nous conservons à des fins de prévention de la fraude et les cookies de session pour un petit sous-ensemble de nos comptes marchands », a déclaré Throne.

Zerforschung détails publiés du bogue dans un article de blog une fois qu’il a été corrigé.

Mais des questions demeurent pour l’entreprise. Throne dit avoir utilisé les journaux du réseau pour déterminer « qu’il n’y avait aucun risque et qu’aucune partie inconnue n’avait consulté de données ». Zerforschung conteste cette affirmation, car Throne n’a pas demandé au collectif ses adresses IP que l’entreprise pourrait utiliser pour enquêter sur l’incident tout en excluant l’activité des chercheurs.

Les journaux sont importants car ils gardent une trace des événements internes, tels que qui se connecte depuis où et quand. La logique veut que si des chercheurs en sécurité comme Zerforschung ont trouvé le bogue, il se peut que des acteurs malveillants l’aient également découvert. Il n’est pas clair si quelqu’un d’autre a accédé ou exfiltré les données de Throne, ou si Throne a la capacité technique de déterminer quelles données, le cas échéant, ont été consultées.

Throne a également affirmé dans son article de blog qu’un expert allemand anonyme de la confidentialité des données « a confirmé qu’il n’y avait aucun risque pour les données », ce qui n’a aucun sens puisque Zerforschung a prouvé le contraire.

Lorsqu’il a été contacté pour commenter, le co-fondateur de Throne, Patrice Becker, a réitéré une grande partie du billet de blog de Throne dans des remarques passe-partout, mais a refusé de répondre à nos questions spécifiques ou de fournir le nom de l’expert présumé en matière de confidentialité des données à partir de son billet de blog.

Becker n’a pas contesté les conclusions de Zerforschung ou l’exposition des adresses personnelles des créateurs lorsqu’on l’a interrogé à ce sujet.

Mis à jour le 7 avril avec un lien vers le billet de blog publié par Zerforschung.

4.9/5 - (23 votes)
Publicité
Article précédentThe Bad Batch saison 2 épisode 3 heure de sortie (par fuseau horaire)
Article suivantUn autre rapport affirme que Samsung Galaxy Z Flip 5, Z Fold 5 sont lancés tôt
Berthe Lefurgey
Berthe Lefurgey
https://muckrack.com/berthe-lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici