Alerte XSS : Une faille Cross-Site Scripting persistante sur Deezer

4

Le portail musical bien connu Deezer a toujours le vent en poupe. Ce qui ne l’empêche pas d’avoir quelques lacunes en matière de sécurité visiblement. Un jeune Grey Hat connu sous le pseudo de OreyGaku vient de partager sa découverte, une XSS dans les règles de l’art.

La vulnérabilité se trouve sur les profils publics des membres du site, autant dire que tout le monde peut être touché. Pire encore, la XSS est de type persistante, autrement dit, une fois qu’un profil a été piégé par un pirate, tous les visiteurs de ce dernier seront potentiellement en danger ! Pas besoin de transmettre de lien piégé ni d’user d’aucune ruse.

Il est donc très facile actuellement d’usurper des sessions et des comptes d’utilisateurs au sein du portail musical Deezer. Voici un screenshot fourni par OreyGaku :

deezer-xssed

Un PoC est aussi en ligne, il vous suffit de visiter le profil de OreyG afin d’avoir un aperçu des possibilités : lien vers le profil de Aregato.

Autant dire que certains pirates vont s’en donner à cœur joie en s’emparant de comptes utilisateurs « Premium » (ceux qui paient un abonnement pour une écoute illimitée) et les utiliser pour eux ou pour les revendre… Espérons que Deezer sera réactif, la chose a déjà fuité sur Twitter depuis hier soir.

En attendant, évitez à tout prix de visiter un profil public Deezer (même à partir d’un lien présent dans un mail ou sur un forum) ou alors, faites-le déconnecté de votre compte personnel afin de ne pas courir de risque de vol de session. Bien entendu, il reste des risques inhérents de phishing (un pirate peut modifier la page profil afin de demander des informations personnelles à un visiteur croyant que c’est Deezer qui lui demande). Prudence !

4 Commentaires

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.