Aller au contenu

17 giga-octets de photos privées piratées

pankkake

Par pankkake,
dans La Taverne

Messages recommandés

pankkake

pankkake

Posté
Posté
We all heard about the MySpace vulnerability that allowed everyone to access pictures that have been set to private at MySpace. That vulnerability got closed down pretty fast. Unfortunately though (for MySpace) someone did use an automated script to run over 44,000 profiles that downloaded all private pictures which resulted in a 17 Gigabyte zip file with more than 560,000 pictures. The zip file is now showing up on popular torrent sites across the net.

http://it.slashdot.org/article.pl?sid=08/01/25/1845206

MySpace sapu :

From the summary:

We all heard about the MySpace vulnerability that allowed everyone to access pictures that have been set to private at MySpace. That vulnerability got closed down pretty fast.

No it didn't. MySpace let this thing go on for months. From TFA:

The MySpace hole surfaced last fall, and it was quickly seized upon by the self-described pedophiles and ordinary voyeurs who used it, among other things, to target 14- and 15-year-old users who'd caught their eye online. A YouTube video showed how to use the bug to retrieve private profile photos. The bug also spawned a number of ad-supported sites that made it easy to retrieve photos. One such site reported more than 77,000 queries before MySpace closed the hole last Friday following Wired News' report.

The irony (and scandal) is that they not only failed to uphold their privacy policy despite being in the public spotlight over the last 2 years precisely for privacy issues, but that they didn't bother to acknowledge or fix this bug until a high traffic site reported on it.

Précisions techniques pour les geeks :

Yes. This is how MySpace, Facebook, Photobucket, etc. are designed. It'd be very database-intensive and difficult to handle sessions/permissions every single time someone requested a static image.

It's not a big deal in the case of MySpace and Facebook; the images are randomly-enough named that I don't think anyone's figured out the scheme (if there is one). Basically all it does is let you and your friend trade images of people one of you already knows, which isn't too bad considering that anyone who posts images anywhere on the internet with any expectation of privacy is pretty silly to start with.

However, in Photobucket (which is insecure in general; they still store plaintext passwords amongst other issues), which doesn't rename uploaded images, it results in an amusing hobby called "fuskering" where common image sequences (i.e DCIMxxxx.JPG, etc.) can be sequentially requested from a user's account until one matches.

Myspace appears to use a static content server that does no validation of who you are before returning JPGs.

When not working or browsing Slashdot, a friend and I will exchange URLs to profile pics of "interesting" looking women. If the profile is private, the URL to the private JPG is not protected and we would exchange those instead. I haven't spent any time trying to find a pattern in the seemingly-random JPG names, so it appears difficult to pull the private images of any one person, but in general everyone's pics are available if you know the URL.

Lien vers le commentaire
Harald

Harald

Posté
Posté
sur photobucket ils ont supprime mes dessins de penis :icon_up:

Photobucket est géré par un ramassis de gros cons. Je me suis fait sucrer mon compte au prétexte que j'archivais des affiches cocos et nazies de la WWII. J'ai eu beau leur expliquer que ça n'était qu'à titre documentaire étoussa, ils n'ont rien voulu savoir. Globalement le niveau de la réponse c'était "mais rendez-vous compte si des gens tombent là-dessus".

Lien vers le commentaire
teabag

teabag

Posté
Posté
Facebook et MySpace : même faille de sécurité critique

Par Jean-Pierre Louvet - Futura-Sciences Une faille a été détectée le 1er février dans un ActiveX utilisé par les deux sites pour télécharger des images. Il n'y a pour le moment aucun correctif de sécurité.

Le code exploitant cette vulnérabilité a été publiée par Elazar Broad dans une liste de diffusion, selon le principe « full disclosure ». Celui-ci consiste à rendre public le moyen d'exploiter des failles de sécurité pour forcer les éditeurs de logiciel à faire les mises à jour dans les plus brefs délais. Rappelons que selon la loi DADVSI cette pratique à risque ne serait pas autorisée en France. Dans la mesure où le code a été publié alors que la faille n'avait pas été signalée auparavant il s'agit de ce qu'on appelle dans le jargon informatique anglais un zero day exploit.

L'ActiveX incriminé est Aurigma.ImageUploader.4.1, auquel correspond le fichier ImageUploader4.ocx. La faille résulte d'un débordement de mémoire tampon (buffer overflow) quand on envoie une chaîne de caractère excessivement longue. Il est alors possible de faire exécuter un code malveillant à l'ordinateur victime. Une seule version de cet ActiveX a été testée mais il est très vraisemblable que d'autres versions sont également vulnérables. Le site de sécurité Secunia classe cette faille comme hautement critique.

Dans la mesure où le code est disponible publiquement on peut craindre qu'il soit exploité pour de véritables attaques malveillantes dans un bref délai. De façon plus générale, ces sites de réseaux sociaux devenant de plus en plus populaires, on peut s'attendre à ce qu'ils deviennent une cible privilégiée d'attaques diverses d'autant qu'ils contiennent de nombreuses données personnelles sur les personnes qui s'y inscrivent.

En décembre la société Sophos a testé les risques auxquels s'exposent les utilisateurs trop naïfs de ces outils en créant un profil fictif sur Facebook et en lançant 200 requêtes vers des « amis » choisis au hasard. 82 personnes ont répondu et dans ces réponses 72% ont donné leur adresse mail, 84% leur date de naissance, 87% des détails sur leurs études ou leur travail, 78% leur adresse ou leur lieu de résidence, 23% leur numéro de téléphone et 26% leur alias de messagerie instantanée. Beaucoup (chiffre non publié) ont envoyé leur photo, celle de leurs famille ou de leurs amis, voire le nom de leur conjoint, des détails sur leurs employeurs…

On constate donc que la naïveté de nombreux utilisateurs met leur vie privée en danger. On peut facilement imaginer l'avantage que pourraient en tirer des pirates. Si en plus il est possible de piéger les utilisateurs grâce à l'exploitation de certaines failles il est temps de s'interroger sur l'utilisation et la sécurité de ces nouveaux outils dont l'intérêt est cependant incontestable.

Lien vers le commentaire
pankkake

pankkake

Posté
  • Auteur
Posté

ActiveX = Internet Explorer uniquement

Et ce contrôle n'est sollicité que quand l'on veut uploader des images (et encore ça doit être uniquement pour l'upload multiple); il faudrait donc que l'utilisateur envoie volontairement une image trafiquée afin de faire planter son propre PC. C'est pas ce que j'appelle hautement critique !

Lien vers le commentaire
Invité jabial

Invité jabial

Posté
Posté

Notons au passage que dans ce pays on a des manifs monstres pour des raisons politiques mais que dalle quand le gouvernement attaque vraiment la liberté, même sur des questions "de gauche". Il n'y a rien à faire, dans notre pays les syndicats ont vraiment perdu toute morale.

Lien vers le commentaire
Jesrad

Jesrad

Posté
Posté
Notons au passage que dans ce pays on a des manifs monstres pour des raisons politiques mais que dalle quand le gouvernement attaque vraiment la liberté, même sur des questions "de gauche". Il n'y a rien à faire, dans notre pays les syndicats ont vraiment perdu toute morale.

Etant donné que la morale va dans la direction exactement opposée au principe même qui justifie leur existence, il n'y a pas lieu d'être surpris…

Lien vers le commentaire

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

Aller sur la liste des sujets
×
×
  • Créer...