• Votre panier est vide.

  • LOGIN

Vulnérabilité Snapchat autorisée à supprimer le contenu Spotlight des utilisateurs


Certains articles de veille peuvent faire l'objet de traduction automatique.


Un chercheur a mis en évidence une vulnérabilité dans Snapchat qui pourrait permettre à un attaquant distant de supprimer le contenu Spotlight d’un utilisateur cible. Snapchat a corrigé la faille à la suite du rapport de bogue, récompensant le chercheur avec une grosse prime.

Pleins feux sur la vulnérabilité de Snapchat lors de la suppression de contenu

Selon un rapport d’erreur de Sahil Saxena, une grave vulnérabilité a mis en péril la sécurité du contenu Spotlight des utilisateurs de Snapchat. Saxena a remarqué qu’il pouvait supprimer à distance la vidéo Spotlight de n’importe quel utilisateur cible sans avoir besoin des informations d’identification du compte de l’utilisateur.

Spotlight est une fonctionnalité vidéo attrayante que Snapchat propose à ses créateurs de contenu pour maximiser la visibilité. Cette fonctionnalité aide également les créateurs à générer de l’argent, ce qui signifie que toute vulnérabilité l’affectant pourrait également avoir un impact indirect sur leurs revenus.

Comme décrit, le chercheur a observé le problème lors de l’interception des publications de Snapchat et de la tentative de suppression d’une publication. Il a remarqué le problème avec un ID de paramètre spécifique dans la demande de suppression de publication, qu’il pouvait modifier pour supprimer le contenu Spotlight de tout autre utilisateur.

Expliquant le PoC, il a déclaré,

Dans la demande de suppression, il y a un paramètre d’id {"operationName":"DeleteStorySnaps","variables":{"ids":["███████"],"storyType":"SPOTLIGHT_STORY"},"query":"mutation DeleteStorySnaps($ids: [String!]!, $storyType: StoryType!) {n deleteStorySnaps(ids: $ids, storyType: $storyType)n}n"}
Il vous suffit de modifier ce paramètre id. Vous pouvez facilement obtenir le paramètre id. Transférez maintenant la demande après avoir remplacé l’identifiant par l’identifiant vidéo de quelqu’un d’autre.

Outre une violation de la vie privée et des dommages au contenu de la victime, un tel exploit pourrait également avoir un impact financier sur l’utilisateur. En effet, le contenu Spotlight supprimé devient inéligible aux Crystal Awards de Snapchat, le mode de paiement de la plateforme.

Snapchat a corrigé le bogue

Après avoir découvert cette vulnérabilité, le chercheur a signalé l’affaire à Snapchat via son programme de primes de bogues HackerOne. Les responsables de la plate-forme ont rapidement trié le bogue, assurant un examen interne.

Puis, en moins d’une semaine, Snapchat a confirmé avoir corrigé la vulnérabilité, que le chercheur a également testée et confirmée. Il a validé le correctif, qui a renvoyé une erreur lors de la tentative de modification de l’ID de paramètre et de l’envoi d’une requête.

Après avoir retenu le rapport de vulnérabilité pendant un certain temps pour garantir d’autres correctifs, Snapchat a récemment divulgué le rapport de bogue au public.

En plus de corriger la vulnérabilité, Snapchat a récompensé le chercheur avec une grosse prime de 15 000 $.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

mars 9, 2023

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)