Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

700 000 résultats de tests COVID et les données personnelles de patients dévoilées en ligne : réaction de HackerOne

septembre 2021 par HackerOne

Selon Mediapart [1], « _Plus de 700 000 résultats de tests, et les
données personnelles des patients, ont été durant des mois
accessibles en quelques clics en raison de failles béantes. _D’après
le média, _"L’alerte a été lancée par une patiente qui a voulu
récupérer un résultat d’analyse via un lien qui lui avait été
fourni. Elle a alors réalisé qu’avec quelques manipulations de
l’adresse URL, elle pouvait accéder à une énorme base de données.
 »

CETTE FAILLE S’APPARENTE À UNE VULNÉRABILITÉ DE TYPE "INSECURE
DIRECT OBJECT REFERENCES", TRÈS FRÉQUENTE SUR LES PLATEFORMES WEB.
BUSRA DEMIR, SENIOR SOLUTIONS ARCHITECTE CHEZ HACKERONE, COMMENTE :

_"Une référence directe d’objet non sécurisée (IDOR) est une
vulnérabilité très courante. Pour les entreprises du retail et de
e-commerce, les vulnérabilités IDOR représentent 15 % des paiements
de primes. Il s’agit de la vulnérabilité la plus fréquente au sein
des plateformes des administrations publiques (18 %), du secteur
médical (36 %) et des systèmes dédiés aux services professionnels
(31 %). Ces vulnérabilités permettent d’accéder au contenu suivant
(post / page web / fichier) sur une plateforme, simplement en ajoutant
à une URL un caractère, lettre ou chiffre, de manière séquentielle.
Il est facile pour un cybercriminel de détecter et d’exploiter ce genre
de faille. En effet, sans étapes d’authentification ou de limites
d’accès, un attaquant peut aisément mettre en place un programme qui
télécharge de manière automatisée chaque message, photo, vidéo et
données de l’ensemble du site. Les vulnérabilités IDOR figurent parmi
celles que les hackers éthiques recherchent en priorité lorsqu’ils
sont invités à vérifier la posture de sécurité d’un service ou
d’une plateforme."_


Voir les articles précédents

    

Voir les articles suivants