Le réseau social « anonyme » Yik Yak a mis plus de trois mois à corriger les vulnérabilités, ce qui signifiait qu’il n’était pas du tout anonyme, malgré les rapports de deux chercheurs en sécurité différents.

Lancé en 2013, Yik Yak permet aux utilisateurs de s’envoyer des messages anonymement, mais a été fermé en 2017 après des allégations de cyberintimidation. Il a redémarré l’année dernière et revendique actuellement environ deux millions d’utilisateurs.

RATTRAPER Le service de messagerie cryptée CTemplar annonce sa fermeture

Plus tôt ce mois-ci, David Teather, étudiant en informatique basé au Wisconsin révélé qu’il avait pu accéder aux emplacements précis des utilisateurs, précis à moins de 10 pieds à 15 pieds, ainsi qu’aux identifiants des utilisateurs, pour tous les messages et commentaires publiés sur le site.

Cela, a-t-il souligné, signifiait que, en particulier dans les zones rurales, il pourrait être possible de localiser l’adresse du domicile d’un utilisateur, potentiellement à des fins de vol ou de harcèlement.

Le chercheur a pu le faire en interceptant les requêtes HTTP du client à l’aide de l’outil open source Mitmproxy. Cela, dit-il, était « assez trivial à faire ».

Résultats en double

Teather a soumis ses conclusions à Yik Yak le 11 avril, sans savoir qu’un autre chercheur, Mika Melikyan, avait signalé le même problème mois plus tôt.

« Nous avons découvert des problèmes similaires, mais Mika a creusé plus profondément que moi et a pu devenir administrateur de la base de données Yik Yak », a déclaré Teather. La gorgée quotidienne.

« Je n’étais pas au courant de son travail, mais il a signalé ses problèmes à Yik Yak en février. »

Melikyan dit que son rapport du 1er février portait sur la violation des données GPS.

« Cependant, d’autres vulnérabilités ont été découvertes, telles que : n’importe quel utilisateur peut augmenter ses privilèges et devenir administrateur, n’importe quel utilisateur peut modifier ou supprimer des messages arbitraires sur la chronologie, n’importe quel utilisateur peut modifier le nombre de » votes positifs « sur des messages arbitraires », a-t-il déclaré. La gorgée quotidienne.

« Cela signifiait qu’un attaquant pouvait modifier n’importe quel message pour obtenir des milliers de votes positifs. Ceci est dangereux car il peut être utilisé comme un outil pour générer artificiellement l’acceptation sociale. Imaginez, juste avant les élections, un message anonyme a été publié qui faisait l’éloge d’un candidat à la présidentielle et modifié pour avoir 100 000 votes positifs.

Changements sous le capot

Les deux chercheurs ayant rapporté de manière indépendante, Yik Yak a apporté des modifications le 8 mai qui ont fait que l’application ne renvoyait plus les identifiants d’utilisateur au client. Le 18 mai, il est allé plus loin, réduisant la précision de la localisation GPS, ainsi que la distance entre les utilisateurs.

Cependant, dit Melikyan, « il y a eu plusieurs mises à jour de l’application Yik Yak entre le 1er février et mai, dont aucune n’a résolu les vulnérabilités. Les développeurs en étaient pleinement conscients et ils ne l’ont pas priorisé.

Nous avons contacté Yik Yak pour obtenir une réponse et nous mettrons à jour si nous recevons une réponse.