Le site d'Apple expo avait un petit trou

Florian Innocente |
"Nous suivons des procédures strictes de sécurité pour l'archivage et l'utilisation des informations que vous nous fournissez" indique le site d'Apple expo dans ses mentions légales. Las, ce même site Apple expo remix'08 se trainait un tout petit trou de sécurité.

Comme nous avons pu le constater aujourd'hui, il donnait aisément accès à la liste des exposants ainsi qu'aux identifiants et mots de passe associés à leur compte d'enregistrement.

coordonneesappleexpo2008


Sur ces comptes on trouvait des éléments anondins comme les bons de commande PDF pour l'équipement et les prestations d'un stand mais aussi la fiche d'identité de l'exposant prévue pour être publiée durant l'événement et un outil pour générer des invitations gratuites à volonté.

Pas de quoi faire trembler Apple expo mais assez pour nuire à un exposant. Par exemple en envoyant tous azimuts en son nom une volée d'invitations par e-mail au contenu peu aimable… Informé dans la matinée, Reed Expositions a rebouché son trou fissa.

Merci à Clément WuZ


avatar littledon | 
tout dans la finesse le sous titre °_°
avatar flying.anvil | 
En passant du produit a vitre mélangé a de la gomme sur l'écran, vous pouvez effacer les zones orangées,afin d'éviter d'user DiskWarrior, Techtool Pro, etc... (c'est ma copine blonde qui m'a donné le tuyau)
avatar hirtrey | 
@littledon: +1
avatar the_nuru | 
Perso j'aurai plus mis "L'expo de la pomme a un pépin"
avatar monpticul | 
Et ben, ca c'est des grands professionnels !!
avatar DrFatalis | 
Vous auriez du en profiter pour envoyer une volée de mails censé provenir de MS, du genre "découvrez en avant première windows 7: démonstration de macOSX leopard sur le stand MS!" Nan, je sais bien que ce n'est pas légal...mais quand même...
avatar Trancescape | 
Le plus sacandaleux c'est de constater que leur base est donc en clair, pas encryptée le moins du monde ! Toute personne un tant soit peu professionnelle qui travaille avec une base de contacts, s'assure qu'au moins les mots de passe soient hashés. En théorie même l'administrateur de la base de données lui-même ne peut pas connaître les mots de passe des gens. Il a le pouvoir de les ré-initialiser mais pas de les connaître. Effrayant tout ça
avatar the_nuru | 
qui sait on retrouvera peut être sur ebay le listing piraté par certains qui sera très utile à des fins commerciales
avatar Anonyme (non vérifié) | 
Je ne pense pas que l'on retrouveras ce listing sur internet: 1) Dans le vie il faut avoir une certaine éthique. 2) Je crois bien que je serais le suspect numéro 1 si une tel chose arrive. Ce serait bête de ma part... Sachez que le monde des administrateur est un monde foufoufou. Aujourd'hui la plupart des admins pensent qu'un petit https suffit à protéger un site...

CONNEXION UTILISATEUR