Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Faille de sécurité dans l'API de Qobuz et fuite d'adresses email

C'est dans les vieilles failles...
Internet 2 min
Faille de sécurité dans l'API de Qobuz et fuite d'adresses email

Des utilisateurs de Qobuz se plaignent de recevoir du spam sur leur adresse, uniquement utilisée pour le service de streaming. Ce dernier a réagi en fin de semaine dernière, expliquant que cela vient probablement d'une faille de son API, corrigée depuis.

Qobuz est dans une situation financière difficile. Après plus d'un an de procédure de sauvegarde, le tribunal de commerce de Paris vient de placer la société en redressement judiciaire (voir notre analyse). La semaine dernière, nouveau coup dur pour la plateforme de Qobuz : des clients se plaignaient de recevoir des spams dans leur boite mail pourtant uniquement utilisée pour Qobuz.

Dans un billet de blog, la société revient sur cette question, à sa manière : « Il semble qu’un certain nombre de nos utilisateurs aient été impactés récemment par des spams assez bas-de-gamme dont ils sont certains qu’ils proviennent d’adresses mail stocké par Qobuz dans la mesure où souvent ces adresses ont été créées spécialement pour les besoins de leur compte Qobuz ».

La société ajoute que « la grande majorité des spams reçus correspondaient à des comptes Qobuz créés avec ces adresses depuis six mois et bien plus. Une faille dans notre API avait été détectée il y a quelques mois, faille aujourd’hui corrigée, et nous pensons que c’est de cette faille qu’est venu le problème », sans détail supplémentaire.

Sur le dépôt Github de Qobuz, on retrouve un commentaire faisant état d'une faille de sécurité qui concerne justement son API. Cette information remonte au 19 mars, ce qui correspond bien à plus de six mois en arrière. Il y est indiqué qu'une connexion HTTP serait utilisée à la place du HTTPS, ce qui laisserait ainsi visibles des identifiants (qui peuvent être une adresse email) et le hash MD5 du mot de passe. Actuellement, le ticket est toujours ouvert sans la moindre réponse, mais Qobuz n'établit pas de lien direct avec la fuite des emails.

« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs » ajoute simplement Qobuz en guise de conclusion, avant de présenter ses excuses aux utilisateurs touchés.

 

12 commentaires
Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 16/11/15 à 08:17:04

dans 3 mois ils ne seront plus là de toutes façons :xzombi:

Avatar de anonyme_5af96fc0c6bcfcf63dedfe7bc68a4860 Abonné

darkbeast a écrit :

dans 3 mois ils ne seront plus là de toutes façons :xzombi:

Ah ah. :cartonjaune:

Édité par gwado le 16/11/2015 à 08:53
Avatar de Lady Komandeman INpactien
Avatar de Lady KomandemanLady Komandeman- 16/11/15 à 09:12:44

« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs »

Ils ont oublié un « pas ». :non:

Et j'aime bien cette idée de « louer » ou « prêter » les données, je ne connaissais pas. Elle s'autodétruisent après la fin de la location ? :mad2:

Moi aussi j'ai déjà « prêté » des albums en MP3, et mes potes m'ont assuré ne rien avoir gardé. :ouioui:

Avatar de Patch INpactien
Avatar de PatchPatch- 16/11/15 à 09:59:50

Lady Komandeman a écrit :

« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs »

Ils ont oublié un « pas ». :non:

Nop, c'est une facon de parler, mais le "pas" n'est pas obligatoire ici :chinois:

Avatar de Kalzem Abonné
Avatar de KalzemKalzem- 16/11/15 à 12:27:31
Avatar de jojofoufou INpactien
Avatar de jojofoufoujojofoufou- 16/11/15 à 12:37:42

Ça m'étonnerais tout de même que la "faille" de sécurité remonté sur GH soit a l'origine du leak.

Avatar de Lady Komandeman INpactien
Avatar de Lady KomandemanLady Komandeman- 16/11/15 à 12:46:46

BabyAzerty a écrit :

https://fr.wikipedia.org/wiki/N%C3%A9gation_en_fran%C3%A7ais#Emploi_de_.C2.AB_ne_.C2.BB_seul

Patch a écrit :

Nop, c'est une facon de parler, mais le "pas" n'est pas obligatoire ici :chinois:

Je sais bien que l'on peut faire l'omission, mais c'est généralement dans des cas précis, notamment des expressions. Là, le résultat est bien moins fluide que les exemples de wiki ("Si je ne me trompe, nous sommes arrivés", "À Dieu ne plaise").

Avatar de Vader_MIB Abonné
Avatar de Vader_MIBVader_MIB- 16/11/15 à 13:09:03

C'est sympa de laisser courrir et de réagir quand des gens se plaignent publiquement...

Avatar de Patch INpactien
Avatar de PatchPatch- 16/11/15 à 13:20:29

Lady Komandeman a écrit :

Je sais bien que l'on peut faire l'omission, mais c'est généralement dans des cas précis, notamment des expressions. Là, le résultat est bien moins fluide que les exemples de wiki ("Si je ne me trompe, nous sommes arrivés", "À Dieu ne plaise").

Et moi je trouve ca bien plus fluide que le "si je ne me trompe"... Comme quoi :D

Avatar de Lady Komandeman INpactien
Avatar de Lady KomandemanLady Komandeman- 16/11/15 à 13:26:00

C 1 choi 2 vi, j'imagine. :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 2