Faille de sécurité dans l'API de Qobuz et fuite d'adresses email

C'est dans les vieilles failles... 12
En bref
image dediée
Securité
Sébastien Gavois

Des utilisateurs de Qobuz se plaignent de recevoir du spam sur leur adresse, uniquement utilisée pour le service de streaming. Ce dernier a réagi en fin de semaine dernière, expliquant que cela vient probablement d'une faille de son API, corrigée depuis.

Qobuz est dans une situation financière difficile. Après plus d'un an de procédure de sauvegarde, le tribunal de commerce de Paris vient de placer la société en redressement judiciaire (voir notre analyse). La semaine dernière, nouveau coup dur pour la plateforme de Qobuz : des clients se plaignaient de recevoir des spams dans leur boite mail pourtant uniquement utilisée pour Qobuz.

Dans un billet de blog, la société revient sur cette question, à sa manière : « Il semble qu’un certain nombre de nos utilisateurs aient été impactés récemment par des spams assez bas-de-gamme dont ils sont certains qu’ils proviennent d’adresses mail stocké par Qobuz dans la mesure où souvent ces adresses ont été créées spécialement pour les besoins de leur compte Qobuz ».

La société ajoute que « la grande majorité des spams reçus correspondaient à des comptes Qobuz créés avec ces adresses depuis six mois et bien plus. Une faille dans notre API avait été détectée il y a quelques mois, faille aujourd’hui corrigée, et nous pensons que c’est de cette faille qu’est venu le problème », sans détail supplémentaire.

Sur le dépôt Github de Qobuz, on retrouve un commentaire faisant état d'une faille de sécurité qui concerne justement son API. Cette information remonte au 19 mars, ce qui correspond bien à plus de six mois en arrière. Il y est indiqué qu'une connexion HTTP serait utilisée à la place du HTTPS, ce qui laisserait ainsi visibles des identifiants (qui peuvent être une adresse email) et le hash MD5 du mot de passe. Actuellement, le ticket est toujours ouvert sans la moindre réponse, mais Qobuz n'établit pas de lien direct avec la fuite des emails.

« Nous ne vendons, prêtons ou louons les coordonnées de nos clients, abonnés ou utilisateurs » ajoute simplement Qobuz en guise de conclusion, avant de présenter ses excuses aux utilisateurs touchés.


chargement
Chargement des commentaires...