Foursquare : une faille aurait pu révéler jusqu'à 45 millions d'adresses email

Une bonne base pour débuter dans la carrière du spam 4
Vincent Hermann

Selon Jamal Eddine, un hacker qui avait déjà révélé une importante faille au sein de Facebook l’année dernière, Foursquare présentait une vulnérabilité permettant avec un peu d’effort de récupérer les emails des comptes utilisateurs, soit un maximum de 45 millions d’adresses.

Foursquare Windows 8

Foursquare sous Windows 8

Jusqu'à 45 millions d'adresses étaient menacées 

Foursquare est un service bien connu des utilisateurs connectés qui aiment indiquer où ils se trouvent. L’application, disponible sous Android, BlackBerry, iOS ou encore Windows Phone, vous permet d'indiquer à vos amis où vous vous trouvez, et éventuellement de partager cette information sur les réseaux sociaux. Un système de points et de badges récompense les utilisateurs réguliers, et certaines enseignes, à l’instar de Starbucks, offrent même des réductions aux clients qui l'utilisent souvent chez elles.

Le service dispose aujourd’hui de 45 millions d’utilisateurs environ. Les applications mobiles permettent d’inviter des contacts via un système qui expédie ensuite un email aux personnes. Le problème est que le lien qui permet d’accepter l’invitation est conçu selon une structure qui affiche clairement le numéro d’identifiant du parrain :

foursquare

Un identifiant pas si anodin que l'on pourrait le penser

Comme l’a montré Jamal Eddine, la partie rouge correspond au paramètre « uid », autrement dit « User ID », tandis que la partie verte est justement composée de cet identifiant unique. Selon Eddine, cette valeur peut être modifiée pour se rendre sur le profil du parrain et même récupérer facilement son adresse email.

foursquare

Pour Eddine, il existe en fait un double problème. D’une part, il indique qu’un développeur un peu malin aurait pu récupérer l’intégralité des emails de cette manière, constituant ainsi une base de données pour gérer du spam. D’autre part, cette vulnérabilité permet de récupérer le nom de la personne ainsi que son adresse email, ce qui peut éventuellement provoquer d’autres soucis avec des procédures où ces deux informations sont demandées.

Pour autant, cela ne devrait donner lieu à aucun risque concret, en tout cas plus maintenant. Eddine indique en effet que Foursquare avait été prévenu avant que le billet explicatif n’apparaisse sur son blog, et que la faille a été corrigée. L’information rappelle cependant qu’il ne suffit parfois que d’un petit rien pour qu’une fuite de millions d’informations survienne.


chargement
Chargement des commentaires...