Exclusivité UnderNews – Un photographe testant le service de partage photographique 500PX vient de rapporter sur son site comment il a pu exploiter malgré-lui une énorme faille de sécurité touchant l’authentification des membres sur le site.
Dominik Fusina relate sur son site toute la procédure aboutissant à une connexion sur un compte appartenant à autrui et ce, sans avoir de compétences techniques particulières ! Ce dernier s’est connecté à 500PX via son compte Facebook via le service d’authentification bien connu, Facebook Connect. Or, il n’a pas atterrie sur son compte mais sur celui de quelqu’un d’autre… avec tous les droits (modification, clôture, etc).
Il a contacté le service technique de 500PX par mail et voici leur réponse, telle qu’elle est rapportée :
———————————–
500px Inc.
APR 20, 2012 | 04:33PM EDT
Hello Fusina,
It looks like we have had some issues with Facebook connect, logging in users to the wrong accounts. We are having our developers investigate this issue ASAP.
Should your require further assistance or help please let me know,
Diana from 500px
@detula
———————————–
Mail qui confirme bien le “bug” de sécurité lié à l’implémentation de Facebook Connect sur le site. Comme Dominik Fusina l’indique, c’est loin d’être rassurant, surtout que le site 500PX propose des offres payantes afin de concurrencer Flickr…