Deux chercheurs en sécurité informatique, evil_xorb et Michał Bentkowski, ont découvert une faille qui permettait de mettre la main sur le nom, le mail et le jeton de connexion d’un utilsateur de Facebook. Le bug partait du plugin FriendFeed. Après avoir cliqué sur le bouton « Enregistrer », une requête POST à redirect_uri était délivrée. Cette requête contenait les données de l’utilisateur. Rien n’était chiffré. Nom, mail et le jeton d’accès accessibles. Une vulnérabilité sensible au Clickjacking. Le bug a été signalé à Facebook et a été corrigé assez rapidement. (Bentkowski)
Plusieurs failles permettent de faire disparaître les données bancaires enregistrées dans Twitter par les annonceurs publicitaires.
Twitter permet d’enregistrer des données bancaires dans la partie ads.twitter.com, le service publicitaire du gazouilleur 2.0. Un internaute, qui se fait appeler Security Geek, a découvert comment faire disparaître les données des cartes bleues sauvegardées dans Twitter Ads par les annonceurs. La vulnérabilité était très critique car il suffisait de posséder l’identifiant de la carte de crédit pour la supprimer. Un identifiant composé uniquement de 6 chiffres tels que « 098289 ». Il aurait suffit qu’un malveillant travaille sur un petit code en python, qui aurait utilisé une simple boucle sur 6 chiffres, pour supprimer les CB qui lui seraient passés sous la souris. Un moyen de calmer le chiffre d’affaire publicitaire de Twitter. « Le plus drôle est que la page de réponse, après la manipulation, affichait une erreur « 403 forbbiden »,s’amuse l’inventeur de la faille, Ahmed Aboul-Elamais. La carte de crédit était réellement supprimée du compte« . Une seconde faille permettait de faire croire à Twitter la mauvaise utilisation d’une CB. Bilan, le piaf effacé la vraie CB du compte officiel qui l’employait.
