35 millions de profils Google à poil sur Internet ?

EDIT 4 : Voici un petit POC pour une non faille de test volontaire. Les spameurs doivent se régaler depuis des années…

EDIT 3 : Comme promis, c’est chez Korben que ça se passe pour l’explication de l’exploitation de cette « non faille ».

EDIT 2 : Il y a bien un loup, Korben va ouvrir le bal du GoogleID vs ugly marketers d’ici quelques minutes… stay tuned.

EDIT : plusieurs internautes nous signalent que cette faille était connue depuis 2008. A cette époque, le site Search Engine Journal qui évoquait le problème parlait de 50.000 profils. Visiblement, la fuite (volontaire) s’est agrandie… Cette volonté de laisser les profils être indexés par les moteurs de recherche est bien étrange vu ce qu’il est possible de faire avec. Ne pas protéger ces contenus ressemble… Hum… Heu ? Une négligence très caractérisée ? Allo la CNIL ? S’il y a des profils d’utilisateurs français dans la liste, on peut imagine 8 minutes d’amende cette fois ?

Après TMG qui laisse des adresses IPs de test concernant des particuliers de tests et leur vie privée de test trainer sur un serveur de test, c’est visiblement au tour de Google de se laisser aller…

Un internaute citoyen et concerné par la protection des données personnelles a de nouveau prévenu Reflets.info de ce qui ressemble bien à un nouveau #fail concernant les profils de test d’un Google de test soudain ouvert à tous les vents de test.

Lorsque l’on se promène sur cette page de Google :

 

On tombe sur une belle page 404 (Not found).

En revanche, si l’on avance un peu dans le serveur, on trouve ceci qui n’est absolument pas protégé :

C’est à dire des listes d’adresses (URLs) qui donnent accès aux profils des utilisateurs de Google. On y voir la liste de leurs Buzz, le fait qu’ils aient ou non des albums Picassa…

Il est encore un peu tôt pour savoir s’il y a dans cette liste des profils privés et des albums Picassa privés, mais le doute est permis.

 

Quand bien même ces profils seraient publics, leur présence dans un seul serveur permet de se constituer à peu de frais une monumentale base de données. Les pros du marketing pourraient s’en donner à coeur joie. De fait, sur l’un des profils consultés par Reflets, le lieu de résidence de l’utilisateur est indiqué. Sur un autre, la galerie de photos Picassa donne également des indications sur son lieu de résidence.

A vue de nez et en procédant à des calculs absolument pas scientifiques, Reflets.info estime le volume des profils à 35 millions. Une paille.

Cette nouvelle fuite conforte l’analyse de Reflets.info selon laquelle il n’y pas de possibilité de sécuriser un système connecté à Internet. A chacun d’en tirer les conclusions. A l’état, par exemple, de ne pas privatiser la justice en donnant à une entreprise privée, connectée à Internet avec ses serveurs de test, la possibilité de créer des fichiers d’internautes de test. Aux internautes de test, par exemple, de ne pas s’auto-ficher sur Internet, ouvrant ainsi une voie royale aux fuites et aux constitutions de bases de données par les pros du marketing…

 

Twitter Facebook Google Plus email

Auteur: Antoine Champagne - kitetoa

Dinosaure du Net, journaliste à ses heures. A commis deux trois trucs (Kitetoa.com, Aporismes.com et Reflets.info).

26 thoughts on “35 millions de profils Google à poil sur Internet ?”

  1. Il ne s’agit pas d’une faille de sécurité, mais de fichiers présents volontairement pour (par exemple) l’indexation par des moteurs de recherche.

    De cette manière, on retrouve l’adresse du profil Google de quelqu’un en tapant son nom dans un moteur de recherche.

  2. Il y a une différence entre référencer des profils dans un moteur de recherche et les laisser tous au même endroit où ils peuvent être téléchargés puis entrés dans une base de données.
    :(

  3. Oui mais dans les CGU il y a ceci: « 11. Licence relative à votre Contenu

    11.1 Vous conservez les droits d’auteur et tous les autres droits en votre possession vis-à-vis du Contenu que vous fournissez, publiez ou affichez sur les Services ou par le biais de ces derniers. En fournissant, publiant ou affichant du contenu, vous accordez à Google le droit permanent, irrévocable, mondial, gratuit et non exclusif de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout Contenu que vous avez fourni, publié ou affiché sur les Services ou par le biais de ces derniers. Cette licence a pour seul but de permettre à Google d’afficher, de distribuer et de promouvoir les Services et peut être révoquée pour certains Services, selon les dispositions des Conditions supplémentaires de ces Services.

    11.2 Vous admettez que cette licence inclut le droit pour Google de rendre ce Contenu disponible auprès d’autres sociétés, organisations ou individus partenaires de Google pour la mise à disposition de services syndiqués, ainsi que le droit d’utiliser ce Contenu en relation avec la mise à disposition de ces services.

    11.3 Vous admettez que Google, lors des étapes techniques nécessaires pour fournir les Services à ses utilisateurs, peut (a) transmettre ou distribuer votre Contenu via divers réseaux publics et sous diverses formes et (b) modifier votre Contenu afin qu’il soit adapté et conforme aux impératifs techniques associés à la connexion à des réseaux, des périphériques, des services ou des supports. Vous admettez que cette licence autorise Google à entreprendre ces actions.

    11.4 Vous confirmez et garantissez à Google que vous disposez de tous les droits, pouvoirs et autorité nécessaires pour octroyer la licence susvisée. »

    Bon faut savoir lire aussi avant d’utiliser les services de google…

    1. Oui je pense que si cette option n’est pas activé alors on n’apparait pas dans le sitemap.

      Mais bon perso j’ai du mal à voir le probleme, c’est des informations que les gens rendent publics volontairement, google est clair sur le fait que c’est public et l’option visible in search n’est pas activé par defaut non ? (de meme que la vanity url).

          1. Merci j’ai bien compris ,comme sur l’annuaire électronique, on peut se faire une base donnée avec nom, prénom adresse, num de tél fix, mobile et @ e-mail…manque les centres d’intérêts pour des particuliers et sur l’annuaire pro, on peux rajouter l’activité professionnelle et leur site web, bref tout le nécessaire pour du spam

  4. Mais c’est quoi le probleme ici ? Juste le fait que les gens mettent des infos sur le net ?

    Un truc social distribué, avec micro-format par exemple aboutirait au meme resultat, la centralisation ne change pas grand chose.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *