Le 18 septembre 2007

Des données pas si confidentielles chez Google…


espion Une ligne de code et un peu de patience, c’est tout ce qu’il faut pour récupérer des adresses e-mail d’internautes sans leur consentement…

Ce matin était lancé Google Présentations, le PowerPoint de Google. Avec quelques manipulations, il est possible d’intégrer une présentation dans un site internet ou sur un blog. C’est ce que nous avons fait dans notre article ce matin sur Zorgloob. Problème : une faille de sécurité, si on peut appeler ça comme ça, permet de récupérer des dizaines d’adresses e-mail sans bouger le petit doigt.

En effet, le diaporama contient par défaut un espace de discussion pour dialoguer avec tous ceux qui visualisent le diaporama. Ce chat est basé sur le gadget de Google Talk. Problème : si vous êtes connectés à votre compte Google, lorsque vous accédez à la page où le chat est inséré, vous êtes automatiquement connectés à ce chat. Dès lors, sans même participer à la discussion, votre adresse e-mail est enregistré. L’équipe en charge de la sécurité chez Google a été prévenue, mais la faille n’étant pas corrigée, nous ne dévoilerons pas ni où ni comment ces adresses e-mails sont enregistrées. Pour l’instant.

Pour l’heure, cette technique m’a permis de récupérer les adresses électroniques de plus de 250 lecteurs de Zorgloob, qu’ils aient participé au chat où qu’ils soient simplement passés en coup de vent sur ce site. Pas de panique, aucune utilisation frauduleuse ne sera faite de ces données. En revanche, les spammeurs pourraient s’en donner à coeur joie.

La seule parade à cette fuite de d’information confidentielles est de vous déconnecter de votre compte Google lorsque vous surfez sur la toile. Il semblerait que la désactivation des cookies peut, elle aussi, vous protéger des spammeurs. Méfiance donc.

Edition du 19/9 par TomHtml :
La faille a été corrigée, quelques heures seulement après nos e-mails envoyés à Google. Nous pouvons donc sans crainte vous dévoiler l’astuce. Une fois connecté au chat, il suffisait simplement d’attendre que les internautes passent sur la même page, et se connectent automatiquement au chat. Ensuite, direction Gmail et sa rubrique « historique des chats »… qui contenait la liste de tous les participants, même ceux qui ne parlaient pas. Merci aux plus de 420 personnes qui m’ont envoyé leur adresse e-mail involontairement 😉
Par ailleurs, il reste une faille mais plus compliquée à mettre en place celle-là, qui consiste à écouter les flux HTTP lorsqu’on est connecté au chat. Mais ça ne permet pas de récupérer des adresses e-mail plus rapidement.

[Merci Daniel, lecteur de Zorgloob et premier a avoir remarqué ce problème]

Publié le 18 septembre 2007 à 15:20 par dans Actualité

Billet trop ancien. Les commentaires sont maintenant fermés.