Sécurité

Le BBOM présente également une faille qui expose les données des utilisateurs

Après avoir découvert une faille qui exposait les données personnelles des utilisateurs de TelexFree, Manoel Netto, de Tecnocracia, a décidé d’enquêter sur l’existence du problème dans d’autres réseaux de “marketing à plusieurs niveaux”. Et n’a-t-il pas découvert que le réseau BBOM présente une vulnérabilité similaire ?

Comme TelexFree, BBOM utilise un système de génération de boleto Banco France, mais avec un peu plus de sécurité : le mécanisme ne génère pas d’URL séquentielles, ni ne rend claire l’identification du générateur de boleto. Toutefois, aucun zèle n’a été déployé pour empêcher que des liens vers des bolets contenant des informations personnelles de partisans du BBOM ne finissent sur Google et ouvrent ainsi une faille pour l’exploitation des données d’autres affiliés.

Manoel Netto a découvert que l’individu qui a fait le script a généré un hachage MD5 à partir de la séquence d’identification du boleto et a utilisé cette information dans l’adresse du document. Comme il a réussi à trouver quelques bolets indexés dans Google, Netto a utilisé l’identification de l’un d’entre eux pour savoir quel était le bolet suivant (généralement, l’ID est séquentiel), a généré un MD5 à partir de cette information (le MD5 des mêmes données donne toujours le même hachage) et a mis la séquence obtenue dans l’URL. Là, il y avait la facture suivante, avec le nom, l’adresse et le montant payé par le citoyen au BBOM.

  Comment prendre connaissance de l'utilisation des données sur Android

Comme pour TelexFree, certaines précautions de base mises en œuvre dès le départ pourraient éviter d’exposer les informations des utilisateurs de BBOM. Heureusement, peu de bolets ont été indexés par Google.

La malchance est qu’une personne ayant des connaissances raisonnables peut, à partir de ces quelques bolets, générer un script capable d’exploiter la vulnérabilité et obtenir des données privées de plusieurs autres personnes. Il ne reste plus qu’à espérer qu’au moins cette lacune sera comblée en temps utile.

Nous avons contacté la société pour connaître sa position concernant la découverte de la Tecnocratie ; ainsi que nous avons une réponse, nous donnons la mise à jour.

Mise à jour le 08/02/2013, à 12h40 : Embrasystem (le groupe qui contrôle le BBOM) nous a envoyé la position suivante par l’intermédiaire de son bureau de presse :

Embrasystem, étant une entreprise technologique, maintient ses systèmes à jour pour éviter d’éventuelles défaillances. Les fuites d’informations via Internet ont été détectées par nos programmeurs et résolues rapidement, le 31 juillet.

  Facebook est une machine à espionner, selon le fondateur de WikiLeaks

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire