dimanche 23 décembre 2007

Une faille XSS sur Meetic, le père noêl ne trouvera peut être pas la mère Noël à cause d'un vulnérabilité critique !

L'hiver arrive mais la chaleur ne baisse par sur Internet. Des pirates auraient pu piéger le 1er site de rencontre d'Europe, Meetic.fr.

L'affaire est dans les mains de l'équipe technique de Meetic Corp, la première entreprise européenne, sur le web, offrant la possibilité de rencontres via Internet. Un pirate aurait pu piéger, sans aucun problème, n'importe quel amateur visitant et utilisant les services de cette e-agence de voyage.

Comment ? Simple, malheureusement. Un problème dans le code de programmation d'une page permettait de rediriger un visiteur sur un site qui aurait pu usurper l'image de cette entreprise française. Une faille dans le même esprit de nos révélation, il y a quelques semaines au sujet de Orange (Lire & Lire) ou encore Google (Lire), eBay, (Lire) ... Une usurpation d'autant plus facile que l'url de redirection, qu'aurait pu employer un pirate, était l'adresse officielle de Meetic.fr.



Autant dire que le piège aurait été totalement transparent pour un internaute non averti. "Nous étions au courant, confiait le responsable informatique de la société, Emmanuel Prevost , nous sommes en train de travailler sur cet élément".

A noter qu'une faille XSS, a partir de la page d'identification d'un membre Meetic avait aussi été découverte. Elle permettait d'intercepter le cookie d'un utilisateur. Dans le même esprit que notre révélation, il y a quelques semaines, sur l'interception du cookie permettant l'accès à n'importe quel compte d'un membre de Hotmail (Lire).



L'équipe de Meetic a été particulièrement réactive. Quelques minutes après notre alerte les corrections étaient lancées. (TLEMCANI Hamza/DB)

On peut aussi voir que cette faille était référencé sur le site : XSSed.com depuis longtemps !

Rappelons qu'il y a quelques semaines, Meetic , le premier site européen de rencontre sur Internet avait du faire face à une méthode de piratage des plus singulier. Certains "mâles", vu que pour les dames l'entrée est gratuite, avaient trouvé le moyen de ne pas payer le service de Meetic. Comment ? Les internautes sont passés par plusieurs versions asiatiques de Meetic pour ne pas payer, et utiliser le grand frère français pour trouver l'âme soeur... ou le coup d'un soir !

Dating Watch vient de nous indiquer que la méthode "asiatique" avait été modifiée et surtout largement facilité par des "bidouilleurs". Nous n'en dirons pas plus sur le comment et ou télécharger la chose, car il y a ici, piratage d'un service protégé et escroquerie, mais des petits malins viennent de mettre en ligne un navigateur qui permet de ne pas payer le service mis en place par Meetic. Ce navigateur pour e-cupidon a été baptisé Firefox Meetic Edition.


Source : Zataz.com

1 commentaire:

LoveToBe a dit…

Comment se faire pirater son compte Meetic ...