Le site de deux anciens de Secret Story ne protégeait pas les secrets de ses adhérents
Exclusif : Février 2009, Alexandra (la princesse) et Cyril (l’artiste danseur/rappeur) de l’émission de TF1, Secret Story 2, ont ouvert un site de rencontre sur Internet. Durant plusieurs semaines, le site laissait en accès libre les secret de ses membres.
Il y a un an, sortait du second opus de l’émission de Tv réalité Secret Story, un couple particliérement glamour avec un pincé de hot. D’un côte, une sulfureuse et très jolie princesse, Alexandra. De l’autre, un réservé et très beau « mec », Cyril, un artiste en culture urbaine. En février dernier, le couple lançait sur le réseau des réseaux, un site de rencontre Nid2love.fr. Comme l’explique le site « Lutter contre le communautarisme et les ghettos en permettant de s’affranchir des barriéres socio-culturelles ordinaires ».
Effectivement, durant plusieurs semaines, le site a fait sauter toutes les barriéres, même les électroniques. La rédaction de Stars-buzz.com a découvert, lors de l’inscription d’une des rédactrices de son équipe, que le site ne protégeait pas les informations des adhérents. Il était même possible d’accèder aux messages internes et privés, à la boutique du site, …
Nous allons faire appel au site ZATAZ.COM, magazine spécialisé dans l’underground informatique et les petits côtés de la sécurité informatique pour faire corriger ce sérieux problème. Un courriel sera envoyé via le protocole d’alerte de ZATAZ.COM aux quatre adresses des gestionnaires du site : Contact, Kadran (Stepahne M.), Cyril Paglino et Alexandra Obolensky. Aucunes réponses de leur part et une correction qui est apparue cette semaine, sans le moindre message aux inscrits, ni à nos rédactions respectives.
La faille était terriblement simple et accessible à l’ensemble des membres inscrits de Nid2love.fr. Il suffit de s’identifier à son compte et de rajouter /admin/ dans son espace électronique pour se retrouver dans la page d’administration du site. Bref, l’internaute devenait Kalif à la place du Kalif.
L’ensemble des membres de nid2love peuvaient avoir accès à l’administration une fois connectés avec leur propre mot de passe et login. Un problème de sécurité qui était dû à la mauvaise gestion du cookies de connexion mis en place sur votre site Internet.
Une fois sur son compte, le membre de nid2love pouvait accéder aux données sensibles des autres membres, aux pages d’administrations (paiement en ligne, boutique, mailing list, news, …)