A l'occasion de la grande opération de Géant Casino "La compil' des marques" (valable jusqu'au 31 Décembre 2007) en association avec Universal Music France, le grand magasin offrait à ses clients 3 titres à télécharger parmis les 200 séléctionnés par Universal Music. Tout aurait pu très bien se passer mais voila qu'a la rédaction mx-dev.net, nous découvront une faille de sécurité conséquente.

Sur le ticket distribué est indiqué un code qui va permettre au client de se connecter à une interface afin de choisir ses titres. Lors d'un téléchargement, l'identifiant client est passé en variable dans l'url ainsi que l'identifiant du titre à télécharger.

Bien vite, nous allons nous apercevoir qu'en modifiant quelques paramètres, nous allons pouvoir télécharger plus de titres que les trois auquels nous avions droit. Le système va tout simplement débiter du compte des autres gagnants un, deux ou trois titres au choix.

Une faille qui s'avère bien frustrante pour les nombreux gagnants qui peuvent voir leur compte débité sans avoir rien demandé.

Mise à jour à 17h52 :
Le site BuzzMusic fournissant les fichiers audios contiendrait lui aussi une faille de sécurité permettant de télécharger frauduleusement tout le catalogue. Une faille que n'importe qui pourrait trouver...
Nous venons de contacter BuzzMusic pour leur signaler la faille.

Attention : la rédaction mx-dev.net n'encourage absolument pas au piratage et encore moins au contournement des systèmes de protection mis en place par les sites web.

Posté le 28 Décembre 2007 à 16h06 par Matt 261.