Un développeur Russe du nom de Egor Homakov a exploité une faille dans Rails découverte l’année dernière et ainsi pu accéder à l’ensemble des comptes GitHub.
La faille se situe au niveau des variables attr_accessible et attr_protected qui, si elles ne sont pas déclarées, permettent à des personnes malintentionnées d’ajouter une valeur dans n’importe quelle colonne de la base de données.
Étant donné que la plupart des développeurs ne sécurisent pas cette partie, il y a de nombreuses applications Rails qui sont faillibles, dont GitHub.
Pour se connecter sur un compte utilisateur qui ne lui appartient pas, le pirate a juste à éditer la page web avec Firebug et ajouter un champ qui lui permet de voir ou de modifier certaines valeurs en base.
Suite à un full disclosure, la faille est corrigée, y compris chez Github…
Sources : Twitter, Korben