Exploit : Pinterest expose les informations privées de 70 millions de comptes utilisateurs

0
129

Le chercheur en sécurité Dan Melamed a trouvé un exploit critique visant le réseau social Pinterest pouvant compromettre la vie privée de plus de 70 millions d’utilisateurs. La faille de sécurité pourrait permettre aux pirates d’afficher l’adresse mail d’un utilisateur sur Pinterest.

Pinterest est un réseau social très populaire, comptant plus de 70 millions d’utilisateurs de part le monde, y compris des grandes marques et des personnalités. La vulnérabilité pourrait donc avoir un impact sérieux sur leur vie privée. Dan a trouvé le moyen d’accéder aux informations privées appartenant au propriétaire d’un jeton d’accès, et il a montré qu’il est possible de les afficher en visitant l’URL suivante.

pinterest_private_token_url

En substituant le “/me/” dans le lien avec le nom d’un utilisateur de Pinterest, il est possible d’afficher en un clic son adresse e-mail. Par exemple, le lien ci-dessous montre l’adresse électronique de l’utilisateur “Pinterest” (testez avec votre nom d’utilisateur, ça marche !) :

pinterest_mail_address

Une vidéo du PoC a par ailleurs été diffusée par le chercheur :

[youtube Af7y1U2L2NM nolink]

Un cybercriminel pourrait utiliser l’exploit Pinterest pour récupérer facilement toutes les adresses e-mail à partir d’une liste d’utilisateurs à des fins malveillantes, notamment afin de mettre sur pied des campagnes de phishing ciblées pouvant faire de gros dégâts. Dan a également fourni une solution simple pour résoudre cette vulnérabilité au sein de Pinterest qu’il a découverte : il suffit de vérifier le propriétaire du jeton d’accès de l’utilisateur dont les informations sont demandées, de cette façon il est possible de prévenir tout abus.

Dan a révélé que l’équipe de sécurité de Pinterest est très efficace et prudente par rapport aux questions de confidentialité des utilisateurs, il a déjà confirmé que la vulnérabilité de Pinterest a été corrigée avec succès. Pinterest a officiellement autorisé le chercheur à divulguer la faille et a ajouter son nom dans la liste des héros du site concernant le “Responsable Disclosure“.

A noter que Dan Melamed a découvert le même type de faille de sécurité au sein de StumbleUpon, et a pu avoir accès au nom complet, à l’adresse mail, à l’âge, au sexe et à la localisation de ses utilisateurs, mais la société ne lui a jamais donné la permission de divulguer l’exploit, même après l’avoir patché. Comme l’a souligné Dan, l’exploitation de faille de sécurité comme celles de Pinterest et de StumbleUpon auraient pu permettre à un pirate informatique de collecter plus de 100 millions d’adresses e-mail. Actuellement, la sécurité des données stockées par les médias sociaux est une question majeure.