Connexion
Abonnez-vous

Faille de sécurité dans l’API de Qobuz et fuite d’adresses email

C'est dans les vieilles failles...

Faille de sécurité dans l'API de Qobuz et fuite d'adresses email

Le 16 novembre 2015 à 07h50

Des utilisateurs de Qobuz se plaignent de recevoir du spam sur leur adresse, uniquement utilisée pour le service de streaming. Ce dernier a réagi en fin de semaine dernière, expliquant que cela vient probablement d'une faille de son API, corrigée depuis.

Qobuz est dans une situation financière difficile. Après plus d'un an de procédure de sauvegarde, le tribunal de commerce de Paris vient de placer la société en redressement judiciaire (voir notre analyse). La semaine dernière, nouveau coup dur pour la plateforme de Qobuz : des clients se plaignaient de recevoir des spams dans leur boite mail pourtant uniquement utilisée pour Qobuz.

Dans un billet de blog, la société revient sur cette question, à sa manière : « Il semble qu’un certain nombre de nos utilisateurs aient été impactés récemment par des spams assez bas-de-gamme dont ils sont certains qu’ils proviennent d’adresses mail stocké par Qobuz dans la mesure où souvent ces adresses ont été créées spécialement pour les besoins de leur compte Qobuz ».

La société ajoute que « la grande majorité des spams reçus correspondaient à des comptes Qobuz créés avec ces adresses depuis six mois et bien plus. Une faille dans notre API avait été détectée il y a quelques mois, faille aujourd’hui corrigée, et nous pensons que c’est de cette faille qu’est venu le problème », sans détail supplémentaire.

Sur le dépôt Github de Qobuz, on retrouve un commentaire faisant état d'une faille de sécurité qui concerne justement son API. Cette information remonte au 19 mars, ce qui correspond bien à plus de six mois en arrière. Il y est indiqué qu'une connexion HTTP serait utilisée à la place du HTTPS, ce qui laisserait ainsi visibles des identifiants (qui peuvent être une adresse email) et le hash MD5 du mot de passe. Actuellement, le ticket est toujours ouvert sans la moindre réponse, mais Qobuz n'établit pas de lien direct avec la fuite des emails.

« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs » ajoute simplement Qobuz en guise de conclusion, avant de présenter ses excuses aux utilisateurs touchés.

 

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

dans 3 mois ils ne seront plus là de toutes façons <img data-src=" />

votre avatar







darkbeast a écrit :



dans 3 mois ils ne seront plus là de toutes façons <img data-src=" />





Ah ah.&nbsp;<img data-src=" />


votre avatar

« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs »



Ils ont oublié un « pas ». <img data-src=" />



Et j’aime bien cette idée de « louer » ou « prêter » les données, je ne connaissais pas. Elle s’autodétruisent après la fin de la location ? <img data-src=" />



Moi aussi j’ai déjà « prêté » des albums en MP3, et mes potes m’ont assuré ne rien avoir gardé. <img data-src=" />

votre avatar







Lady Komandeman a écrit :



« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs »



Ils ont oublié un « pas ». <img data-src=" />



Nop, c’est une facon de parler, mais le “pas” n’est pas obligatoire ici <img data-src=" />


votre avatar
votre avatar

Ça m’étonnerais tout de même que la “faille” de sécurité remonté sur GH soit a l’origine du leak.

votre avatar







BabyAzerty a écrit :



fr.wikipedia.org WikipediaPatch a écrit :



Nop, c’est une facon de parler, mais le “pas” n’est pas obligatoire ici <img data-src=" />





Je sais bien que l’on peut faire l’omission, mais c’est généralement dans des cas précis, notamment des expressions. Là, le résultat est bien moins fluide que les exemples de wiki (“Si je ne me trompe, nous sommes arrivés”, “À Dieu ne plaise”).


votre avatar

C’est sympa de laisser courrir et de réagir quand des gens se plaignent publiquement…

votre avatar







Lady Komandeman a écrit :



Je sais bien que l’on peut faire l’omission, mais c’est généralement dans des cas précis, notamment des expressions. Là, le résultat est bien moins fluide que les exemples de wiki (“Si je ne me trompe, nous sommes arrivés”, “À Dieu ne plaise”).



Et moi je trouve ca bien plus fluide que le “si je ne me trompe”… Comme quoi <img data-src=" />


votre avatar

C 1 choi 2 vi, j’imagine. <img data-src=" />

votre avatar

Le combo http + MD5 est quand même bien dégueulasse, ça sent vraiment le sapin chez eux.

Quoique non, l’odeur des résineux je trouve ça agréable perso.

votre avatar

Ah :S J’ai pas trouvé leur phrase ambigüe pour autant ^^

Faille de sécurité dans l’API de Qobuz et fuite d’adresses email

Fermer