0

  • Votre panier est vide.

  • LOGIN

Des vulnérabilités dans Event Service Meetup.com pourraient permettre des reprises de groupe

Certains articles de veille peuvent faire l'objet de traduction automatique.

De nombreuses vulnérabilités ont affecté le service événementiel Meetup.com. Ces vulnérabilités, si elles sont exploitées, pourraient avoir un impact sur la confidentialité des utilisateurs. Un adversaire pourrait même prendre le contrôle de groupes en exploitant les bogues.

Vulnérabilités dans Meetup

Des chercheurs de la société de sécurité Checkmarx ont révélé de nombreuses vulnérabilités affectant le service événementiel Meetup.com. Partager les détails dans un rapport, ils ont expliqué avoir trouvé de nombreux problèmes d’API qui affectaient la sécurité des utilisateurs.

Meetup.com est un site de création d’événements en ligne permettant aux utilisateurs de se connecter, de se réunir et d’organiser des rencontres. Compte tenu de la situation mondiale due à la pandémie de COVID-19, les bogues de sécurité dans une telle plate-forme constituent une menace importante.

Un attaquant, en exploitant les bogues, pourrait obtenir un accès amélioré à n’importe quel groupe Meetup, accéder aux détails du groupe, aux événements et aux données des membres, ou même mener des fraudes de paiement.

Plus précisément, ils ont trouvé une attaque de script intersite (XSS) qui a permis à un attaquant d’exécuter des codes malveillants sur les navigateurs des utilisateurs. En outre, ils ont également trouvé une faille CSRF. Ainsi, exploiter les deux bogues ensemble pourrait permettre à un adversaire d’obtenir des privilèges élevés sans autorisation.

Par conséquent, ils pourraient également rediriger les paiements vers n’importe quel autre compte PayPal, entraînant une fraude.

Les chercheurs ont démontré l’attaque dans la vidéo suivante. Alors qu’ils ont également partagé les détails techniques des exploits dans un rapport détaillé.

Patchs publiés

Checkmarx a signalé les vulnérabilités à Meetup.com en décembre 2019. Cependant, Meetup a initialement confirmé certains correctifs en mars 2020. Pourtant, les chercheurs ont pu établir que certains bogues n’étaient pas résolus. Par conséquent, suite aux suggestions supplémentaires des chercheurs, Meetup a de nouveau travaillé pour déployer des correctifs approfondis pour les vulnérabilités.

Par conséquent, pour l’instant, ces problèmes sont résolus et les utilisateurs de Meetup peuvent continuer à utiliser le service sans souci.

De plus, Meetup s’est assuré de ne pas exploiter les bogues.

Meetup prend très au sérieux les rapports sur la sécurité de ses données et apprécie le travail de Checkmarx pour porter ces problèmes à notre attention pour enquête et suivi. Il n’y a aucune preuve d’exploitation de ces vulnérabilités désormais résolues; il n’y a eu aucun impact sur les comptes des utilisateurs de Meetup ni sur la confidentialité.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

août 25, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)