• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

M6 : quand une émission de télévision, en prime time, dévoile en clair et sans floutage les données financières d’un restaurateur ! (URL all-inclusive…)

De manière générale, concevoir un exploit ou élaborer une stratégie de cyber-attaque n’est pas à la portée de toutes et tous : si les connaissances sont primordiales, il faut, aussi, avoir une maîtrise affinée dans certains domaines avant de pouvoir parfaire un tel acte qui, en l’état, reste illégal. Il y a pourtant des cadeaux ou impondérables qui peuvent se présenter : un exemple avec l’émission Capital du Dimanche 7 Août 2022 sur M6, où les “journalistes” n’ont apparemment pas vérifié certains documents avant de les diffuser…

 

 

 

Pas besoin d’être un gros hacker pour avoir accès à une fuite de données. Hier j’ai découvert dans l’épisode de la semaine dernière de Capital a affiché l’écran d’un ordinateur d’un bilan financier avec les détails de vente d’un bar/terrasse avec l’URL EN CLAIR […] le google doc en question est en lecture publique avec droit de modification. Donc en 1min vous pouvez supprimer l’intégralité des données de ce bar. Ou bien encore juste prendre les données si vous êtes un concurrent, ou pire… etc etc… A qui la faute ? M6 pour négligence ? Le bar pour ouvrir ces données publiques ? Une chose est sûr : il reste beaucoup de travail sur ce coté. Et l’éducation de l’humain à ces problématiques est encore et souvent le point fragile. PEACE“, tweete ainsi DFIntelligence, le 8 Août 2022.

Le chercheur n’a pas eu grand chose à faire : c’est en regardant l’émission diffusée en première partie de soirée qu’il s’est rendu compte de l’erreur, ce qui a permis, en dupliquant tout simplement l’URL en question, d’accéder au Drive du restaurant en question… Si certains sites d’initiés, sur le Web, partage bien volontiers en clair certaines URLs (notamment les liens onion), cela est assez spécifique est sans aucun doute pour permettre un accès entre personnes qui n’iront pas en faire un usage frauduleux. Pour le cas de l’émission-documentaire promotionnel, il aurait fallu flouter l’URL : l’ensemble des données financières, par prestations ou produits pouvaient être consulté, modifié voire effacé si, en prime, les accès n’ont pas été configuré depuis le Google Drive, à une équipe ou un ensemble de personnes… A veiller !

 

 

 

Source : DFIntelligence (Twitter) – 8 Août 2022 – Emission Capital du 7 Août 2022 : apparition, en clair, de l’accès-chemin (URL) au Drive d’un restaurateur (sans restriction ou accès limité).

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0