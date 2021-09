700 000 résultats de tests COVID et les données personnelles de patients dévoilées en ligne : réaction de HackerOne

septembre 2021 par HackerOne

Selon Mediapart [1], « _Plus de 700 000 résultats de tests, et les données personnelles des patients, ont été durant des mois accessibles en quelques clics en raison de failles béantes. _D’après le média, _"L’alerte a été lancée par une patiente qui a voulu récupérer un résultat d’analyse via un lien qui lui avait été fourni. Elle a alors réalisé qu’avec quelques manipulations de l’adresse URL, elle pouvait accéder à une énorme base de données. »

CETTE FAILLE S’APPARENTE À UNE VULNÉRABILITÉ DE TYPE "INSECURE DIRECT OBJECT REFERENCES", TRÈS FRÉQUENTE SUR LES PLATEFORMES WEB. BUSRA DEMIR, SENIOR SOLUTIONS ARCHITECTE CHEZ HACKERONE, COMMENTE :

_"Une référence directe d’objet non sécurisée (IDOR) est une vulnérabilité très courante. Pour les entreprises du retail et de e-commerce, les vulnérabilités IDOR représentent 15 % des paiements de primes. Il s’agit de la vulnérabilité la plus fréquente au sein des plateformes des administrations publiques (18 %), du secteur médical (36 %) et des systèmes dédiés aux services professionnels (31 %). Ces vulnérabilités permettent d’accéder au contenu suivant (post / page web / fichier) sur une plateforme, simplement en ajoutant à une URL un caractère, lettre ou chiffre, de manière séquentielle. Il est facile pour un cybercriminel de détecter et d’exploiter ce genre de faille. En effet, sans étapes d’authentification ou de limites d’accès, un attaquant peut aisément mettre en place un programme qui télécharge de manière automatisée chaque message, photo, vidéo et données de l’ensemble du site. Les vulnérabilités IDOR figurent parmi celles que les hackers éthiques recherchent en priorité lorsqu’ils sont invités à vérifier la posture de sécurité d’un service ou d’une plateforme."_