Ruche sociale
Hive Social, une plate-forme de médias sociaux qui a connu une croissance fulgurante depuis qu’Elon Musk a repris Twitter, a brusquement fermé son service mercredi après qu’un avis de sécurité a averti que le site était criblé de vulnérabilités qui exposaient toutes les données stockées dans les comptes d’utilisateurs.
“Les problèmes que nous avons signalés permettent à tout attaquant d’accéder à toutes les données, y compris les publications privées, les messages privés, les médias partagés et même les messages directs supprimés”, a déclaré l’avis, publié mercredi par le collectif de sécurité basé à Berlin Zerforschung. “Cela inclut également les adresses e-mail privées et les numéros de téléphone saisis lors de la connexion.”
Le message a poursuivi en disant qu’après que les chercheurs ont signalé en privé les vulnérabilités samedi dernier, de nombreuses failles qu’ils ont signalées sont restées non corrigées. Ils ont titré leur message “Attention : n’utilisez pas Hive Social”.
Hive Social a répondu en supprimant l’ensemble de son service.
“L’équipe Hive a pris conscience des problèmes de sécurité qui affectent la stabilité de notre application et la sécurité de nos utilisateurs”, ont écrit des responsables de l’entreprise. “Pour résoudre ces problèmes, il faudra éteindre temporairement nos serveurs pendant quelques jours pendant que nous résolvons cela pour une expérience meilleure et plus sûre.”
Le poste de Zerforschung a déclaré que les vulnérabilités étaient si graves qu’ils retenaient les détails techniques pour empêcher leur exploitation active par des pirates malveillants.
Publicité
La série d’événements a soulevé des questions sur les raisons pour lesquelles Hive Social a attendu environ 72 heures pour fermer son site après avoir reçu la notification que les données les plus privées des utilisateurs étaient gratuites. Zerforschung a déclaré qu’après plusieurs communications, Hive Social a affirmé avoir résolu tous les problèmes alors que ce n’était clairement pas le cas. Le site de médias sociaux a déclaré qu’il n’avait jamais prétendu que les vulnérabilités avaient été corrigées.
La base d’utilisateurs de Hive Social aurait doublé au cours des dernières semaines, passant d’environ 1 million à 2 millions la semaine dernière, selon Business Insider. Malgré la croissance massive, le site de médias sociaux a continué à être composé de seulement deux personnes, dont aucune n’avait beaucoup d’expérience dans le domaine de la sécurité.
Les représentants de Hive Social et de Zerforschung n’ont pas répondu aux questions envoyées par e-mail.
Bien qu’il n’y ait aucun rapport indiquant que les vulnérabilités ont été activement exploitées, il n’y a aucun moyen pour le moment d’exclure cela. Toute personne possédant un compte Hive Social doit être préparée à la possibilité que les données qu’elle a fournies lors de l’inscription, ainsi que les messages privés, supprimés ou non, aient été obtenus.
La leçon tirée de cet événement confirme les conseils donnés par Ars mardi concernant Mastodon, un autre site de médias sociaux qui a également vu le nombre d’utilisateurs monter en flèche à la suite de la prise de contrôle de Twitter par Musk. Ne mettez rien sur le site qui ne vous dérangerait pas d’être public. Les informations confidentielles ne doivent jamais être mises dans des messages directs ou à tout autre endroit. En espérant que les utilisateurs de Hive Social le savaient déjà.