MySpace corrige sa faille ... un mois trop tard !

Le par  |  5 commentaire(s) Source : Par Aurélien Cabezon pour Vulnerabilite.com

Vulnérabilité dans MySpaceComme tout bon portail communautaire, MySpace propose à ses membres la postérité électronique en offrant la possibilité de créer un profil consultable pour tous.

Vulnérabilité dans MySpace
Comme tout bon portail communautaire, MySpace propose à ses membres la postérité électronique en offrant la possibilité de créer un profil consultable pour tous. Il est également possible de se réserver un « jardin secret en ligne » à l’aide une zone privée qui, elle, n’est pas accessible à tous les internautes.

Seulement, une curiosité malsaine a poussé certains visiteurs à découvrir un moyen afin de contourner la protection alors en place. Il ne suffisait finalement que de modifier manuellement un paramètre dans une URL spécifique pour dévoiler au monde les secrets de chacun. Bingo ! Le procédé était bien connu des aficionados de MySpace et a été largement exploité pendant un mois … le temps que les équipes de développeurs la corrigent (sic !).

La vulnérabilité est désormais fixée, les utilisateurs de MySpace sont rassurés, cependant quelque chose nous dit qu’elle ne sera pas la dernière…


Une nouvelle cible '
L’engouement pour les sites communautaires du genre semble motiver la recherche de failles sur de tels services en ligne.

Ce n’est pas la première fois que MySpace doit faire face à des déboires sécuritaires. Récemment, un ver – baptisé « Samy » et spécifiquement développé pour ce réseau – s’est répandu à travers des millions de profils d’utilisateurs. Il exploitait alors une vulnérabilité de type « cross-site-scripting » (XSS).

Orkut, le réseau social de Google fut également victime d’un malware similaire. Celui-ci, en revanche, subtilisait les informations contenues dans les profils des membres.

Les sites communautaires et autres réseaux sociaux sont devenus l’eldorado du Web 2.0 et de ses investisseurs. Ils deviennent du même coup une cible de choix pour les pirates et par essence un vecteur extrêmement efficace pour diffuser de nouveaux malwares.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #126980
"une curiosité malsaine " '''
alors comme ça toutes les personnes qui font de la recherche de faille sont des personnes malsaine '

Le #126982
" Il ne suffisait finalement que de modifier manuellement un paramètre dans une URL spécifique pour dévoiler au monde les secrets de chacun."

Rassurez moi, c'était pas juste l'id de la personne à changer dans la barre d'adresse ou un truc du genre, comme y'a déja eu le cas sur de nombreux sites '
Anonyme
Le #127010
si ce n'est pas ça, ce n'en est pas loin
Le #127040
@S3Cur1ty >je pense plutôt qu'il faisait référence au fait de connaître les petits secrets des autres
Le #127062
Je crois que la plus grosse faille est l'appat du gain !

Vous n'imaginez pas que par hasard, tous le fichier est soudainnement accecissible sans compensation pour les heureux banéficiaires !

Explications : ah, on c'est trompé ! Excusez nous c'est une erreur !

Aussi gros que le nuage de Tchernobyl !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]