Les utilisateurs Okhello en danger
Un chercheur découvre comment mettre la main sur plus de 2 millions d’utilisateurs du système de chat vidéo Okhello.
Prenez un chercheur en informatique, Chris Vickery. Rajoutez une pincée de Shodan, le moteur de recherche dédié à la sécurité informatique. Remuez le tout et vous voilà avec une fuite de données concernant le service de chat vidéo Okhello. Une fuite que zataz a pu constater.
Plus de 2,600,000 de données appartenant aux utilisateurs sont concernées. Un script mal configuré et les logs sont recrachées sans reflexion, ni sécurisation.
Il suffit de trouver l’ip du lien fournissant les logs pour lire et télécharger les détails des utilisateurs qui sont connectés. Shodan a référencé l’ip et le port qui ouvre les petits secrets. Dans les données : noms, prénoms, mot de passe hashé, identifiant Facebook, numéro de téléphone, adresse mail… et les messages.
Need to contact @OkHelloApp devs asap! 2,627,082 account details at risk. https://t.co/CNiDgaxJVJ #databreach #okhello #security #fail
— jay fuller (@jfuller290) December 5, 2015
Bref, vue comment le « truc » est coder, pas besoin pour les espions de sortir la grosse artillerie. Cerise sur le gâteau, une base de données de 9Go était téléchargeable avec l’ensemble des informations. Une faille diffusée sur Twitter, début décembre, par un autre « curieux ». OkHello n’avait toujours pas corrigé le 5 décembre.