Le site d'Apple expo avait un petit trou
par Florian Innocente le 11.08.2008 à 15:58
"Nous suivons des procédures strictes de sécurité pour l'archivage et l'utilisation des informations que vous nous fournissez" indique le site d'Apple expo dans ses mentions légales. Las, ce même site Apple expo remix'08 se trainait un tout petit trou de sécurité.
Comme nous avons pu le constater aujourd'hui, il donnait aisément accès à la liste des exposants ainsi qu'aux identifiants et mots de passe associés à leur compte d'enregistrement.
Sur ces comptes on trouvait des éléments anondins comme les bons de commande PDF pour l'équipement et les prestations d'un stand mais aussi la fiche d'identité de l'exposant prévue pour être publiée durant l'événement et un outil pour générer des invitations gratuites à volonté.
Pas de quoi faire trembler Apple expo mais assez pour nuire à un exposant. Par exemple en envoyant tous azimuts en son nom une volée d'invitations par e-mail au contenu peu aimable… Informé dans la matinée, Reed Expositions a rebouché son trou fissa.
Merci à Clément WuZ
Comme nous avons pu le constater aujourd'hui, il donnait aisément accès à la liste des exposants ainsi qu'aux identifiants et mots de passe associés à leur compte d'enregistrement.
Sur ces comptes on trouvait des éléments anondins comme les bons de commande PDF pour l'équipement et les prestations d'un stand mais aussi la fiche d'identité de l'exposant prévue pour être publiée durant l'événement et un outil pour générer des invitations gratuites à volonté.
Pas de quoi faire trembler Apple expo mais assez pour nuire à un exposant. Par exemple en envoyant tous azimuts en son nom une volée d'invitations par e-mail au contenu peu aimable… Informé dans la matinée, Reed Expositions a rebouché son trou fissa.
Merci à Clément WuZ
Vos réactions (9 réactions)
flying.anvil
[11/08/2008 16:17]
En passant du produit a vitre mélangé a de la gomme sur l'écran, vous pouvez effacer les zones orangées,afin d'éviter d'user DiskWarrior, Techtool Pro, etc...
(c'est ma copine blonde qui m'a donné le tuyau)
En passant du produit a vitre mélangé a de la gomme sur l'écran, vous pouvez effacer les zones orangées,afin d'éviter d'user DiskWarrior, Techtool Pro, etc...
(c'est ma copine blonde qui m'a donné le tuyau)
hirtrey
[11/08/2008 16:18]
@littledon: +1
@littledon: +1
the_nuru
[11/08/2008 16:18]
Perso j'aurai plus mis "L'expo de la pomme a un pépin"
Perso j'aurai plus mis "L'expo de la pomme a un pépin"
monpticul
[11/08/2008 16:29]
Et ben, ca c'est des grands professionnels !!
Et ben, ca c'est des grands professionnels !!
DrFatalis
[11/08/2008 17:20]
Vous auriez du en profiter pour envoyer une volée de mails censé provenir de MS, du genre "découvrez en avant première windows 7: démonstration de macOSX leopard sur le stand MS!"
Nan, je sais bien que ce n'est pas légal...mais quand même...
Vous auriez du en profiter pour envoyer une volée de mails censé provenir de MS, du genre "découvrez en avant première windows 7: démonstration de macOSX leopard sur le stand MS!"
Nan, je sais bien que ce n'est pas légal...mais quand même...
Trancescape
[11/08/2008 17:39]
Le plus sacandaleux c'est de constater que leur base est donc en clair, pas encryptée le moins du monde !
Toute personne un tant soit peu professionnelle qui travaille avec une base de contacts, s'assure qu'au moins les mots de passe soient hashés. En théorie même l'administrateur de la base de données lui-même ne peut pas connaître les mots de passe des gens. Il a le pouvoir de les ré-initialiser mais pas de les connaître.
Effrayant tout ça
Le plus sacandaleux c'est de constater que leur base est donc en clair, pas encryptée le moins du monde !
Toute personne un tant soit peu professionnelle qui travaille avec une base de contacts, s'assure qu'au moins les mots de passe soient hashés. En théorie même l'administrateur de la base de données lui-même ne peut pas connaître les mots de passe des gens. Il a le pouvoir de les ré-initialiser mais pas de les connaître.
Effrayant tout ça
the_nuru
[11/08/2008 18:12]
qui sait on retrouvera peut être sur ebay le listing piraté par certains qui sera très utile à des fins commerciales
qui sait on retrouvera peut être sur ebay le listing piraté par certains qui sera très utile à des fins commerciales
ClementWuZ
[11/08/2008 21:51]
Je ne pense pas que l'on retrouveras ce listing sur internet:
1) Dans le vie il faut avoir une certaine éthique.
2) Je crois bien que je serais le suspect numéro 1 si une tel chose arrive. Ce serait bête de ma part...
Sachez que le monde des administrateur est un monde foufoufou. Aujourd'hui la plupart des admins pensent qu'un petit https suffit à protéger un site...
Je ne pense pas que l'on retrouveras ce listing sur internet:
1) Dans le vie il faut avoir une certaine éthique.
2) Je crois bien que je serais le suspect numéro 1 si une tel chose arrive. Ce serait bête de ma part...
Sachez que le monde des administrateur est un monde foufoufou. Aujourd'hui la plupart des admins pensent qu'un petit https suffit à protéger un site...
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.
Février 2010
tout dans la finesse le sous titre °_°