Selon Jamal Eddine, un hacker qui avait déjà révélé une importante faille au sein de Facebook l’année dernière, Foursquare présentait une vulnérabilité permettant avec un peu d’effort de récupérer les emails des comptes utilisateurs, soit un maximum de 45 millions d’adresses.
Foursquare sous Windows 8
Jusqu'à 45 millions d'adresses étaient menacées
Foursquare est un service bien connu des utilisateurs connectés qui aiment indiquer où ils se trouvent. L’application, disponible sous Android, BlackBerry, iOS ou encore Windows Phone, vous permet d'indiquer à vos amis où vous vous trouvez, et éventuellement de partager cette information sur les réseaux sociaux. Un système de points et de badges récompense les utilisateurs réguliers, et certaines enseignes, à l’instar de Starbucks, offrent même des réductions aux clients qui l'utilisent souvent chez elles.
Le service dispose aujourd’hui de 45 millions d’utilisateurs environ. Les applications mobiles permettent d’inviter des contacts via un système qui expédie ensuite un email aux personnes. Le problème est que le lien qui permet d’accepter l’invitation est conçu selon une structure qui affiche clairement le numéro d’identifiant du parrain :
Un identifiant pas si anodin que l'on pourrait le penser
Comme l’a montré Jamal Eddine, la partie rouge correspond au paramètre « uid », autrement dit « User ID », tandis que la partie verte est justement composée de cet identifiant unique. Selon Eddine, cette valeur peut être modifiée pour se rendre sur le profil du parrain et même récupérer facilement son adresse email.
Pour Eddine, il existe en fait un double problème. D’une part, il indique qu’un développeur un peu malin aurait pu récupérer l’intégralité des emails de cette manière, constituant ainsi une base de données pour gérer du spam. D’autre part, cette vulnérabilité permet de récupérer le nom de la personne ainsi que son adresse email, ce qui peut éventuellement provoquer d’autres soucis avec des procédures où ces deux informations sont demandées.
Pour autant, cela ne devrait donner lieu à aucun risque concret, en tout cas plus maintenant. Eddine indique en effet que Foursquare avait été prévenu avant que le billet explicatif n’apparaisse sur son blog, et que la faille a été corrigée. L’information rappelle cependant qu’il ne suffit parfois que d’un petit rien pour qu’une fuite de millions d’informations survienne.
Commentaires (4)
Foursquare avait été prévenu avant que le billet explicatif n’apparaisse sur son blog, et que la faille a été corrigée
Ça devrait se passer comme ça à chaque fois, Foursquare et celui qui a découvert la faille ont tout deux bien réagit. Le mec n’en a pas profité et Foursquare n’a pas fait de procès en criant au piratage comme certaines abrutis de sociétés font si souvent. You ouh, on vous prévient, on a encore rien “hacké”
Petite leçon pour rappeler à tous les développeurs qu’il ne faut jamais exposer publiquement les identifiants “réels”, surtout s’ils sont séquentiels… Il faut toujours générer des identifiants opaques !