Non classé

Une faille Facebook révélée par l'emplacement exact du vendeur

Le 23 avril 2019 - 9 minutes de lecture

Sécurité des applications
                                                    ,
                                                            Big Data
                                                    ,
                                                            Violation de données

Protection de la vie privée: les voleurs utilisent les données de localisation pour "acheter" des articles de grande valeur

Mathew J. Schwartz (euroinfosec) •
23 avril 2019

Une faille Facebook révélée par l'emplacement exact du vendeur
Les données renvoyées par les listes du marché Facebook créées via l'application Facebook incluaient la latitude et la longitude exactes du vendeur. (Source: John Moss)

Facebook a corrigé une faille de son marché numérique qui aurait pu être utilisée pour identifier l'emplacement d'un vendeur et, par extension, de ses produits.

Voir également: Coucher de soleil de Windows Server 2008: Migrer avec Docker

Facebook Marketplace, disponible à la fois sur l'application Facebook et sur le site Web, permet aux utilisateurs de répertorier les articles en vente.

Le chercheur John Moss recherchait comment il pourrait explorer le marché Facebook pour obtenir des informations qui pourraient être utiles pour récupérer les biens volés. Toutefois, lors de ses recherches sur les données de localisation fournies par le marché, il a constaté que la notation JSON (objet JavaScript) – les réponses aux annonces créées avec l'application mobile Facebook n'étaient pas approximatives. Au lieu de cela, Moss a déclaré dans un article de blog, que les données incluaient des coordonnées précises de latitude et de longitude.

Moss a déclaré que la déclaration de Facebook selon laquelle "l'emplacement est approximatif pour protéger la vie privée du vendeur" n'est pas toujours précise.

"Ce que j'ai découvert permettrait essentiellement aux voleurs de considérer le marché de Facebook comme une liste d'achats", déclare Moss, consultant en sécurité senior chez 7 Elements, une société de conseil en tests de sécurité et réponses aux incidents d'Edimbourg, en Écosse.

Moss dit avoir vérifié le problème en créant une liste à l'aide de l'application de Facebook, puis en indiquant l'emplacement de l'article en vente dans un hôtel de Newcastle.

Moss a créé sa propre liste pour vérifier le problème et a localisé l'emplacement dans un hôtel de Newcastle upon Tyne, au nord-est de l'Angleterre.

Sans se connecter à Facebook, Moss a ensuite visité la liste et a constaté que celle-ci incluait non seulement le code postal complet (lettres et chiffres ajoutés à une adresse postale, qui fonctionnent comme des codes postaux américains), mais également la latitude et la longitude.

Les données JSON contenues dans la liste ont retourné les coordonnées exactes de l'hôtel que Moss a choisi comme emplacement personnel lorsqu'il a mis l'article en vente.

"En tant que personne qui a passé les sept dernières années à lutter contre le vol de vélo pendant mon temps libre, je suis particulièrement préoccupée par le fait que des voleurs auraient pu l'utiliser pour identifier l'emplacement des vélos de grande valeur qui sont souvent rangés dans un magasin facilement accessible. dépendances ", dit-il (voir: La dystopie du fitness à l'ère de l'auto-surveillance).

Rapport de défauts rejeté par deux fois sur Facebook

Moss a déclaré qu'il semblait que Facebook n'avait jamais eu l'intention de révéler de telles informations de localisation spécifiques. Par exemple, lors de la mise en vente d'un objet à la vente, l'interface de Facebook affiche un grand cercle indiquant "l'emplacement du vendeur", suggérant qu'il est approximatif.

JSON précédemment renvoyé par la Marketplace de Facebook. (Source: John Moss)

Mais il a découvert que ce n'était pas le cas des données JSON, qui n'ont pas réussi à tronquer le code postal. "Je me serais également attendu à ce que Facebook ne révèle que les trois ou quatre premiers caractères du code postal et non la totalité du caractère – ou à rendre aléatoire l'emplacement dans le cercle. En effet, lorsque Facebook a résolu le problème pour empêcher la fuite de ces informations, le ci-dessus semble être l'approche qu'ils ont adoptée, et maintenant, lorsque j'essaie d'ajouter une publicité, celle-ci est transférée dans un parc local. "

Bien que le problème soit maintenant résolu, Moss a déclaré que Facebook avait rejeté son rapport de bogue à deux reprises, affirmant qu'il ne s'agissait pas d'une faille de sécurité.

"Je me suis senti un peu en bas, j'ai parlé à quelqu'un de mon entourage qui travaille à Facebook. Ils ont réussi à amener quelqu'un à examiner de plus près ce que je rapportais, et le rapport a donc été accepté", a-t-il déclaré. dit. "Un correctif a ensuite été rapidement mis en œuvre après un peu plus d'une semaine."

Moss a également reçu une prime de 5 000 dollars pour le bogue du réseau social.

Facebook n'a pas immédiatement répondu à une demande de commentaire sur la faille de localisation, y compris depuis combien de temps elle existait et si elle était mondiale. Il n'a pas non plus répondu à une demande de commentaire sur les difficultés rencontrées par Moss pour signaler le problème.

"J'ai identifié le problème pour la première fois le 10 février. Je ne peux pas dire s'il existait auparavant", a déclaré Moss à Information Security Media Group. "Je ne l'ai testé qu'au Royaume-Uni."

Pour être clair, Moss a déclaré que sa prime aux insectes ne paierait aucun nouveau vélo. "Mon partenaire, qui souffre depuis longtemps, a demandé à passer notre temps à préparer notre cuisine et à passer des vacances en famille", dit-il. "Apparemment, je n’ai droit qu’à autant de vélos."

Plus de problèmes de sécurité des applications

Ce n'est pas la première fois que des problèmes de sécurité des applications entraînent la divulgation des détails personnels des utilisateurs, y compris l'emplacement.

  • PumpUp en juin 2018 a confirmé qu'il exposait des données sur les utilisateurs, y compris leurs adresses électroniques, leur emplacement et leurs enregistrements d'entraînement, ainsi que des informations sur leur santé déclarées – telles que la taille et le poids – et certaines informations de carte de crédit non chiffrées, notamment les numéros de carte de paiement. , qui avait été chargé sur un serveur Amazon exposé à Internet et accessible à tous.
  • Sous l'application MyFitnessPal et le site Web d'Armour: un pirate a volé des mots de passe et d'autres données pour 150 millions d'utilisateurs, a averti la société en mars 2018. MyFitnessPal est une application gratuite pour smartphone et un site Web permettant aux utilisateurs de suivre leur régime alimentaire et de faire de l'exercice pour réduire leur poids. Il peut également être utilisé pour suivre les entraînements d'un utilisateur.
  • Jusqu’à l’année dernière, Strava avait proposé des cartes thermiques mondiales indiquant la fréquence des déplacements des utilisateurs sur des itinéraires spécifiques lors de l’enregistrement de leurs séances d’entraînement via l’application de la société, qui fonctionne sur les smartphones et les dispositifs portables. Mais les données semblent également avoir révélé la disposition des installations les plus secrètes et auraient pu être utilisées pour identifier des personnes remplissant des fonctions secrètes.

'Vol Strava'

Le problème étudié par Moss n’est pas théorique. Effectivement, une recherche en ligne sur "Vol de Strava" révèle de nombreux cas dans lesquels les amateurs de sport qui ont publié leurs sorties à vélo en ligne ont découvert que les voleurs les utilisaient comme moyen d'identifier des objets intéressants à voler.

"Les membres du public doivent faire attention lors de l'utilisation d'applications telles que Strava afin de ne pas divulguer par inadvertance des informations et des lieux confidentiels", a averti le sergent Rob Danby de la police anglaise de Humberside il y a plusieurs années, affirmant qu'il avait constaté une augmentation des vols de les vélos des garages et des hangars.

En septembre 2018, par exemple, une personne a volé plus de 16 000 dollars de vélos haute performance dans le garage d'Adam Jones à Essex, en Angleterre, tout en laissant le clunker de sa femme.

Jones a confié au journal anglophone Echo qu'il soupçonnait que le voleur avait dû le connaître.

"Mais après avoir parlé à l'un des magasins de vélo ici, le gars a dit: 'Êtes-vous rapide et êtes-vous sur Strava?'", A déclaré Jones au Daily Mail.

"Je ne savais pas que les criminels cherchaient à savoir où les gens circulaient et sur quels itinéraires, puis utilisaient ces informations pour savoir où ils vivaient", a-t-il déclaré. "Ils établissent une corrélation entre les personnes qui affichent des chronos rapides et qui disposent probablement du meilleur équipement. J'ai été tellement choquée lorsque j'ai compris ce qui s'était passé que ce devait être un véritable trésor pour quiconque est entré par effraction."

Confidentialité: pas toujours un défaut

Les applications telles que Strava disposent de paramètres permettant de masquer le début et la fin des parcours ou de définir des zones d'exclusion dans lesquelles des informations ne sont pas enregistrées.

Mais de nombreux utilisateurs ne parviennent apparemment pas à comprendre ou à configurer de tels contrôles.

Un autre défi, disent les experts en sécurité, est que certaines applications, y compris Facebook, peuvent lister le vrai nom de l'utilisateur, tout comme le choix d'un pseudonyme en ligne pour les listes publiques. Ainsi, même en l'absence de données de localisation, l'identité et la localisation de toute personne postant une publicité ne seront peut-être pas difficiles à déduire par un attaquant via une recherche Internet.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.