Faille de sécurité dans l’API de Qobuz et fuite d’adresses email
C'est dans les vieilles failles...
Le 16 novembre 2015 à 07h50
2 min
Internet
Internet
Des utilisateurs de Qobuz se plaignent de recevoir du spam sur leur adresse, uniquement utilisée pour le service de streaming. Ce dernier a réagi en fin de semaine dernière, expliquant que cela vient probablement d'une faille de son API, corrigée depuis.
Qobuz est dans une situation financière difficile. Après plus d'un an de procédure de sauvegarde, le tribunal de commerce de Paris vient de placer la société en redressement judiciaire (voir notre analyse). La semaine dernière, nouveau coup dur pour la plateforme de Qobuz : des clients se plaignaient de recevoir des spams dans leur boite mail pourtant uniquement utilisée pour Qobuz.
Dans un billet de blog, la société revient sur cette question, à sa manière : « Il semble qu’un certain nombre de nos utilisateurs aient été impactés récemment par des spams assez bas-de-gamme dont ils sont certains qu’ils proviennent d’adresses mail stocké par Qobuz dans la mesure où souvent ces adresses ont été créées spécialement pour les besoins de leur compte Qobuz ».
La société ajoute que « la grande majorité des spams reçus correspondaient à des comptes Qobuz créés avec ces adresses depuis six mois et bien plus. Une faille dans notre API avait été détectée il y a quelques mois, faille aujourd’hui corrigée, et nous pensons que c’est de cette faille qu’est venu le problème », sans détail supplémentaire.
Sur le dépôt Github de Qobuz, on retrouve un commentaire faisant état d'une faille de sécurité qui concerne justement son API. Cette information remonte au 19 mars, ce qui correspond bien à plus de six mois en arrière. Il y est indiqué qu'une connexion HTTP serait utilisée à la place du HTTPS, ce qui laisserait ainsi visibles des identifiants (qui peuvent être une adresse email) et le hash MD5 du mot de passe. Actuellement, le ticket est toujours ouvert sans la moindre réponse, mais Qobuz n'établit pas de lien direct avec la fuite des emails.
« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs » ajoute simplement Qobuz en guise de conclusion, avant de présenter ses excuses aux utilisateurs touchés.
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 16/11/2015 à 08h17
dans 3 mois ils ne seront plus là de toutes façons
" />
Le 16/11/2015 à 08h53
Le 16/11/2015 à 09h12
« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs »
" />
" />
" />
Ils ont oublié un « pas ».
Et j’aime bien cette idée de « louer » ou « prêter » les données, je ne connaissais pas. Elle s’autodétruisent après la fin de la location ?
Moi aussi j’ai déjà « prêté » des albums en MP3, et mes potes m’ont assuré ne rien avoir gardé.
Le 16/11/2015 à 09h59
Le 16/11/2015 à 12h27
Le 16/11/2015 à 12h37
Ça m’étonnerais tout de même que la “faille” de sécurité remonté sur GH soit a l’origine du leak.
Le 16/11/2015 à 12h46
Le 16/11/2015 à 13h09
C’est sympa de laisser courrir et de réagir quand des gens se plaignent publiquement…
Le 16/11/2015 à 13h20
Le 16/11/2015 à 13h26
C 1 choi 2 vi, j’imagine.
" />
Le 16/11/2015 à 17h47
Le combo http + MD5 est quand même bien dégueulasse, ça sent vraiment le sapin chez eux.
Quoique non, l’odeur des résineux je trouve ça agréable perso.
Le 17/11/2015 à 12h25
Ah :S J’ai pas trouvé leur phrase ambigüe pour autant ^^