Il y a quelques jours, nous avons pu constater que le célèbre site de rencontre Adopte un mec disposait d'un code source un peu trop curieux sur les pages des profils de ses membres. En effet, on pouvait y trouver plusieurs informations qui n'avaient rien de publiques. Une faille discrètement corrigée depuis.
Nombreux sont les internautes qui utilisent chaque semaine un site de rencontre, de manière gratuite ou payante. Ils y diffusent des photos, des informations concernant leurs personnalités ou leurs goûts, ainsi que des choses plus personnelles pour le bon fonctionnement du service. Mais que se passerait-il si celles-ci étaient tout de même diffusées ?
C'est ce qui est arrivé récemment à Adopte un mec. En effet, en analysant le code source des pages des profils des membres, il était possible de trouver la présence d'une variable MemberData au sein d'un morceau de code JavaScript. Celle-ci ne devait seulement contenir des éléments anodins comme l'id, le pseudo, les badges obtenus, etc. Malheureusement, on pouvait y trouver aussi des éléments privés qui ne devaient se trouver que dans la base de données du site tels que le hash du mot de passe, la dernière adresse IP, les coordonnées géographiques, l'adresse email, le code postal, la date de naissance, la date du dernier échange par chat, etc.
Un extrait des données qui étaient diffusées dans le code source de la page des membres
Dès que nous avons eu connaissance de ce problème, nous avons bien entendu contacté le site à travers son service presse, afin de l'alerter et d'avoir plus d'explications. Et si nous n'avons pas reçu la moindre réponse à notre premier email, nous avons néanmoins pu constater que le code source ne contenait désormais plus que des informations volontairement rendues publiques par les utilisateurs.
Une preuve, s'il en était besoin, que les questions de sécurité ne se passent pas qu'au niveau des géants du web, des états et des outils tels qu'OpenSSL. Parfois, des failles bien plus discrètes et bien plus anodines peuvent aussi être l'occasion de voir des données personnelles s'éparpiller dans la nature. Malheureusement, rien n'incite pour le moment les sociétés touchées à avertir leurs utilisateurs, comme nous l'avions évoqué dans le cas de la faille Heartbleed, un point qui pourrait néanmoins rapidement changer au niveau européen. Contacté à nouveau sur le sujet, Adopte un mec ne nous a pas encore indiqué s'il allait, pour sa part, avertir ses membres.
Commentaires (114)
#1
Adopte-un-codeur.com
#2
#3
C’est pas une faille, là c’est carrément une erreur monumentale de conception pour que ce genre de données se retrouve dans le JS. " />
Edit: j’adore le Flag “admin” à 0, il se passait quoi en le passant à 1? " />
#4
#5
#6
#7
#8
#9
Et encore, c’est qu’un site de rencontre.
Imaginez ce genre de failles sur un site bancaire français… :sifflote:
#10
#11
Si vous avez peur d’Adopte un mec, il y a toujours Paie-toi une escort, c’est tout aussi efficace. " />
#12
#13
#14
Gros niveau ! " />
Et en plus franchement même pas répondre pour dire merci ou communiquer… La prochaine fois, publiez le avant.
#15
#16
#17
#18
Sur l’application Android, j’ai un drôle de message d’erreur quand on envoie un message par moments, qui me laisse penser qu’on peut facilement faire de l’injection SQL..
Ce site est un gruyère tout de façon.
#19
#20
“sex” : 1
C’est sexiste de stocker le sexe dans un booléen. D’ailleurs c’est qui le sexe faux ?
" />
#21
#22
#23
complément d’info
" />
Il s’agit d’une opération marketing entre adopte un mec et Pampers.
" />
#24
#25
#26
#27
#28
#29
#30
Ce n’est même pas étonnant de leur part. Ils ne réagissent pas quand on leur signale des failles.
Perso j’avais essayé de les contacter par e-mail et Twitter par rapport à plusieurs failles concernant leur API.
Résultat : jamais eu de réponse, jamais corrigées " />
Il faut le boycotter et le bannir à vie ce site…
#31
#32
Pffff, encore un qui à fait une requête SQL ave un masque global de flemme d’écrire un par un les champs nécessaire…
Même pas la présence d’esprit de faire un filtre si l’user est admin ou pas…
C’est clair, adopte un codeur.com " />
En tous cas il y en a un qui va passer un sale quart d’heure " />
#33
Pour y être allé à l’époque où ça faisait du bruit par curiosité, j’avais aussi regardé ce qu’il y avait derrière. Ce site a été codé avec les p… avec le tronc, le type qui a fait ça s’est jeté de toute sa masse sur le clavier pour pondre une horreur pareille.
La moitié des interactions sont javascript, c’est dégueu, il y avait un système de blacklist codé en dur pour les injures, le site lâchait des erreurs 500 quand ça lui prenait… bref du grand art. " />
#34
Sais pas mais ca m’arrive aussi de faire sortir des données jsons pas forcements utiles des services rest.
La je vois pas trop ou est le soucie, a la limite, c’est une sorte de cache pour afficher plus rapidement des données d’une page " />
#35
#36
#37
#38
#39
#40
#41
#42
Malgré cette fuite, ça n’augmentera pas mes chance de succès #DealWithIt " />
#43
#44
#45
#46
Tant que le virus est informatique… " />
" />
#47
#48
#49
#50
Bof, même sans cette faille ce site pue du départ.
Le concept du mec comme objet (cf logo du mec qu’on met dans son caddie), comme produit de consommation (pubs TV), c’est du sexisme et de la misandrie.
Seulement à ma connaissance personne ne s’est insurgé contre ça. Dommage.
AMHA un AdopteUneNana générerait des tas de manifs, de gueulantes, de femmes montant au créneau (et elles auraient raison)
#51
#52
#53
#54
#55
Les joies du SELECT * " />
#56
#57
#58
#59
#60
Ce genre de faille sur un site de Pr0n et à moi l’abonnement gratos ! " />
#61
#62
#63
#64
#65
#66
Bon, le mot de passe était hashé, c’est déjà ça… mais apparemment il n’y a pas de salt (en tous cas pas dans l’extrait présenté). A croire que les gens n’apprendront jamais " />
#67
#68
#69
#70
#71
#72
#73
#74
#75
#76
Ça me rappel, il y a quelques années (2002 ou 2003), sur le tout jeune copain d’avant ou un site concurrent, en regardant le source de la page de n’importe quel profil, on y trouvait le login et le mot de passe du profil en question. Si si, le vrai login/password du profil … dans la page du profil !
Je ne comprends même pas que le dev ai pu faire imaginer ça " /> " /> " />
À croire que le gars ne devait même pas savoir ce qu’était une page web !
Heureusement qu’ils sont tombés sur un gentil gars comme moi " /> qui les as prévenu tout de suite.
Et pour tout remerciement, j’ai à peine eu droit à un truc genre “Vous êtes sûr ? On va corriger ça”.
#77
CNIL prévenue (je déconne, mais ça mériterait un coup de bâton)
#78
boarf adopteunmec c’est rempli d’ivoiriens qui cherchent du mougou.Maintenant c’est Tinder qui sert à tirer sa crampe en moins de 5min.
Laissons mourir ce site.
#79
#80
De drôles de fuites dans le code source d’Adopte un mec
Voilà ce que ça donne d’adopter son web dev…" />
#81
#82
#83
#84
#85
#86
#87
#88
#89
Des tas de filles avec qui j’ai tenté quelque chose de “sérieux” m’ont dit à diverses reprises, lorsque je leurs demandait de “mouiller la chemise” : “Eh, c’est pas a moi de faire ca, c’est toi l’homme ici
Tu t’es fait manipulé tout bonnement. Car forcément avec un autre homme , elle tiendrait un autre discours. Une femme, Il faut l’ écouter, mais il faut d’abord la comprendre et apprendre a les connaitre sinon elles te manipuleront,
#90
#91
#92
#93
Je précise pour reznor qu’il y a une grande différence entre être un objet sexuel, et s’exhiber et se faire désirer comme si on était un objet sexuel.-en fait un objet de désrs- (on expose ses attributs au lieu de mettre en avant son être) Dans l’un c’est une conditions sociale subie, mais non choisie, dans l’autres c’est simplement une image,(une apparence) un fantasme virtuelle / imaginaire ou alors un jeu sexuel ou amoureux avec son ou ses partenaires qui devient maitre ou esclave
Dans un cas, cela engage notre propre responsabilité même si nous sommes conditionnés alors que dans l’autre cas, on nie carrément les droits individuels.
#94
#95
en parlant de branleur, toi t’es du genre compulsif" />
#96
#97
#98
#99
#100
#101
#102
Je comprend de cet article qu’un membre de PCi dans l’attente d’être adopté c’est amusé a regarder le code source.
Pour au final faire cette découverte qui vraiment n’est pas super intéressante en soi " />
#103
#104
#105
#106
#107
Il ne faut pas se sentir directement visé quand j’écris que les hommes sont considérés comme des chiens ou de vulgaires abrutis. Je dis cela pour vous rassurer et cela évitera de lire les aboiements et le réactions épidermiques de certains malades qui ne font qu’exprimer leur frustration quotidienne.
ps: le féminisme ou toutes ses conneries de modernité, c’est comme la drogue en général c’est dangereux pour la santé mentale alors si vous avez des enfants ou que vous en faites un usage excessif, il est fortement recommandé d’ en prendre avec modération tout en manipulant cela avec précaution. Le mieux serait de demander conseil auprès de votre médecin généraliste qui rédigera une ordonnance à base de produits de substitution en vente dans toutes les bonnes pharmacies.
Pour les cas les plus graves ou en cas de morsure, le danger est tel que le passage chez le vétérinaire et l’euthanasie devient le seul recours. Alors prudence….
C’ était un message à caractère informatif dédié à la prévention du ministère de la santé.
Une pensée amicale aux geeks et aux nolifes dépressifs du site Nxi.
Toi aussi adopteungeek
#108
#109
#110
Faut prendre tes cachets Saturne… Il est l’heure… Même passée à en croire ton dernier post.
#111
#112
toi aussi adopteunmongolien
#113
#114