Le site de petites annonces britannique Gumtree.com a subi une fuite de données après qu’un chercheur en sécurité a révélé qu’il pouvait accéder aux données sensibles personnellement identifiables des annonceurs simplement en appuyant sur F12 sur le clavier.
Lorsque vous appuyez sur la touche F12 dans un navigateur Web, l’application ouvre la console des outils de développement, qui vous permet d’afficher le code source d’un site Web, de surveiller les demandes réseau et d’afficher les messages d’erreur produits par le site Web.
Il est considéré comme une mesure de sécurité principale de rendre les données sensibles non visibles publiquement lors de l’utilisation d’un site Web, même si vous affichez son code source.
Cependant, le chercheur en sécurité de Pen Test Partners, Alan Monie, a découvert qu’il pouvait voir les informations personnelles des vendeurs simplement en affichant le code source HTML de la publicité affichée sur le site Web de Gumtree.
« Le site fuyait super. Chaque annonce sur le site incluait le code postal ou les coordonnées GPS du vendeur – même si le vendeur demandait que la carte de leur emplacement soit cachée. L’adresse e-mail du vendeur était divulguée et son nom complet était disponible via un simple Vulnérabilité IDOR », a expliqué un rapport par Monie.
Gumtree est l’un des 30 meilleurs sites Web au Royaume-Uni, recevant plusieurs millions de visiteurs uniques chaque mois. A ce titre, cette fuite a pu impacter un grand nombre d’annonceurs sur le site.
Monie a découvert que la source HTML divulguait les informations suivantes aux annonceurs enregistrés :
- nom complet
- Nom d’utilisateur
- date d’enregistrement du compte
- Type de compte
- adresse e-mail
- code postal ou coordonnées GPS
Les conséquences de l’exposition de telles données sont importantes, car les utilisateurs divulgués pourraient être la cible d’attaques de phishing ou d’ingénierie sociale qui utilisent ces informations pour tenter de collecter des informations plus sensibles.
Le site propose également une API exclusivement utilisée par l’application Gumtree sur iOS. Malheureusement, l’un des points de terminaison de cette API était vulnérable à une attaque IDOR (références d’objet direct non sécurisées), entraînant une autre fuite de noms complets et d’autres informations de compte.
Source : partenaires de test de stylo
Après avoir découvert ce problème le 11 novembre 2021, Monie a informé Gumtree du problème, qui a partiellement résolu le problème le 16 novembre 2021. Après plusieurs messages ultérieurs du chercheur, la plateforme a résolu tous les problèmes le 06 décembre 2021.
En tant que tels, les vendeurs sur Gumtree ont vu leurs informations personnelles exposées pendant près d’un mois, voire plus.
EZpublish-france.fr a contacté Gumtree pour lui demander un commentaire sur les mesures prises concernant l’incident, et nous avons reçu la réponse suivante d’un porte-parole.
« Nous avons été informés par un utilisateur d’un problème de sécurité affectant le code source de notre site Web en novembre 2021. Ce problème a été résolu quelques heures après avoir été porté à notre attention. Après avoir pris connaissance de ce qui précède, nous avons par la suite été informés d’un nouveau problème avec notre API pour les appareils iOS. Cela a également été résolu.
«En réponse à ces problèmes, nous avons signalé l’incident au Bureau du commissaire à l’information (ICO) décrivant nos actions déjà prises et planifiées pour surveiller le problème. Celles-ci comprenaient la correction des vulnérabilités, la mise à jour de nos messages de sécurité sur site et l’atténuation des problèmes futurs. »
« Nous n’avons pas informé nos utilisateurs et sommes convaincus que notre réponse aux problèmes signalés a été opportune, appropriée et proportionnée. Nous avons communiqué de manière proactive avec l’organisme de réglementation lorsque ces problèmes sont apparus et que nous avons pris des mesures correctives. Nous prendrons toute autre mesure appropriée si cela s’avère nécessaire. »
Même s’il est possible que le chercheur soit la seule personne à avoir découvert cette faille élémentaire de fuite de données, nous conseillons aux utilisateurs de Gumtree de rester vigilants et de traiter toutes les communications entrantes avec prudence.