Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

35 millions de profils Google à poil sur Internet ?

EDIT 4 : Voici un petit POC pour une non faille de test volontaire. Les spameurs doivent se régaler depuis des années... EDIT 3 : Comme promis, c'est chez Korben que ça se passe pour l'explication de l'exploitation de cette "non faille". EDIT 2 : Il y a bien un loup, Korben va ouvrir le bal du GoogleID vs ugly marketers d'ici quelques minutes... stay tuned. EDIT : plusieurs internautes nous signalent que cette faille était connue depuis 2008.

EDIT 4 : Voici un petit POC pour une non faille de test volontaire. Les spameurs doivent se régaler depuis des années...

EDIT 3 : Comme promis, c'estchez Korben que ça se passe pour l'explication de l'exploitation de cette "non faille".

EDIT 2 : Il y a bien un loup, Korben va ouvrir le bal du GoogleID vs ugly marketers d'ici quelques minutes... stay tuned.

EDIT : plusieurs internautes nous signalent que cette faille était connue depuis 2008. A cette époque, le site Search Engine Journal qui évoquait le problème parlait de 50.000 profils. Visiblement, la fuite (volontaire) s'est agrandie... Cette volonté de laisser les profils être indexés par les moteurs de recherche est bien étrange vu ce qu'il est possible de faire avec. Ne pas protéger ces contenus ressemble... Hum... Heu ? Une négligence très caractérisée ? Allo la CNIL ? S'il y a des profils d'utilisateurs français dans la liste, on peut imagine 8 minutes d'amende cette fois ?

Après TMG qui laisse des adresses IPs de test concernant des particuliers de tests et leur vie privée de test trainer sur un serveur de test, c'est visiblement au tour de Google de se laisser aller...

Un internaute citoyen et concerné par la protection des données personnelles a de nouveau prévenu Reflets.info de ce qui ressemble bien à un nouveau #fail concernant les profils de test d'un Google de test soudain ouvert à tous les vents de test.

Lorsque l'on se promène sur cette page de Google :

 

On tombe sur une belle page 404 (Not found).

En revanche, si l'on avance un peu dans le serveur, on trouve ceci qui n'est absolument pas protégé :

C'est à dire des listes d'adresses (URLs) qui donnent accès aux profils des utilisateurs de Google. On y voir la liste de leurs Buzz, le fait qu'ils aient ou non des albums Picassa...

Il est encore un peu tôt pour savoir s'il y a dans cette liste des profils privés et des albums Picassa privés, mais le doute est permis.

 

Quand bien même ces profils seraient publics, leur présence dans un seul serveur permet de se constituer à peu de frais une monumentale base de données. Les pros du marketing pourraient s'en donner à coeur joie. De fait, sur l'un des profils consultés par Reflets, le lieu de résidence de l'utilisateur est indiqué. Sur un autre, la galerie de photos Picassa donne également des indications sur son lieu de résidence.

A vue de nez et en procédant à des calculs absolument pas scientifiques, Reflets.info estime le volume des profils à 35 millions. Une paille.

Cette nouvelle fuite conforte l'analyse de Reflets.info selon laquelle il n'y pas de possibilité de sécuriser un système connecté à Internet. A chacun d'en tirer les conclusions. A l'état, par exemple, de ne pas privatiser la justice en donnant à une entreprise privée, connectée à Internet avec ses serveurs de test, la possibilité de créer des fichiers d'internautes de test. Aux internautes de test, par exemple, de ne pas s'auto-ficher sur Internet, ouvrant ainsi une voie royale aux fuites et aux constitutions de bases de données par les pros du marketing...

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée