Louis Vuitton a tacitement corrigé une faille de sécurité sur son site Web qui permettait d’énumérer les comptes d’utilisateurs et même de prendre en charge les comptes via la réinitialisation des mots de passe.

Fondée en 1854, Louis Vuitton est une grande marque française de produits et de produits de mode de luxe avec plus de 121 000 employés et un chiffre d’affaires annuel de 15 milliards de dollars.

Le défaut facilement exploitable résidait dans le Compte MyLV Section du site Web.

En créant un compte MyLV, un acheteur Louis Vuitton peut suivre les commandes en ligne, accéder à l’historique des achats, recevoir des reçus électroniques, gérer les informations personnelles et recevoir les annonces de l’entreprise.

Un chercheur signale une vulnérabilité, reçoit une réponse vague

Après que le chercheur en sécurité Sabri Haddouche a découvert la vulnérabilité, il a contacté Louis Vuitton dans le cadre du processus de divulgation responsable.

Puis il tweeté le 22 septembre de ses tentatives infructueuses pour joindre la bonne personne lorsqu’il a reçu une réponse vague de la société.

Rapport de vulnérabilité de Sabri Louis Vuitton
Haddouche a initialement reçu une réponse étrange de la société lors du signalement de la vulnérabilité
Source: Twitter

Haddouche a poursuivi sur le même fil: « Eh bien, ils ont maintenant dit qu’ils avaient transmis le rapport au département approprié, alors j’attendrai encore une semaine avant d’essayer de trouver un nouveau moyen de les contacter. Peut-être que je peux leur dire qu’il y en a. » Problème de sécurité urgent qui doit être résolu et le soutien a reçu le rapport. « 

Liste du compte e-mail

Haddouche a maintenant donné à BleepingComputer de plus amples détails sur ce problème de sécurité urgent qui devait être résolu.

Le chercheur a déclaré: « La vulnérabilité est étonnamment facile à exploiter, et je l’ai trouvée par accident lorsque j’ai cliqué sur l’un des liens dans l’e-mail de Louis Vuitton. Voici comment cela fonctionne: »

  1. Accédez à l’url suivante: https://account.louisvuitton.com/fra-fr/mylv/registration?A=917XXXXXXXXXXXX.
  2. L’ID (paramètre « A ») peut être modifié selon les besoins car les chiffres sont incrémentale il est facile de repérer à peu près tout le monde.
  3. L’e-mail d’un client s’affiche. De plus, s’il n’a pas de compte, vous serez invité à définir un mot de passe et vous vous connecterez.

L’e-mail auquel Haddouche faisait référence était une notification par e-mail de la réparation de Louis Vuitton qui l’a incité à se connecter à un compte.

Notification par e-mail de Louis Vuitton
Notification par e-mail de Louis Vuitton avec le bouton auquel appartient le lien vulnérable MyLV
Source: BleepingComputer

Le bouton « Consulter mon compte » (Afficher mon compte) mène au MyLV Lien vers l’identifiant de compte Haddouche comme indiqué dans les étapes ci-dessus.

Haddouche a remarqué que le remplacement de son numéro d’identification de compte dans le paramètre «A» par un numéro séquentiel affichait désormais l’adresse électronique d’un autre utilisateur dans le champ de courriel.

Un attaquant pourrait potentiellement obtenir les adresses électroniques de plusieurs membres de Louis Vuitton à leur insu ou sans leur consentement en inscrivant simplement leur identifiant de compte dans l’URL.

Fuite d'adresse e-mail Louis Vuitton
Adresse e-mail du membre divulguée sur le site Web de Louis Vuitton
Source: BleepingComputer

Prise de contrôle par énumération

Un autre aspect inquiétant de Mon compte LV De cette façon, n’importe qui pourrait reprendre le compte d’un membre de Louis Vuitton.

Notez qu’un utilisateur a déjà effectué des achats sur le site en utilisant son adresse e-mail mais ne s’est pas inscrit à un compte.

En s’appuyant sur le flux de travail ci-dessus, si un pirate informatique avait trouvé une telle adresse e-mail tout en devinant les identifiants de compte un par un, le site Web révélerait non seulement l’adresse e-mail du compte, mais inviterait également un pirate à définir un mot de passe.

Cela pourrait permettre à l’attaquant de créer un compte et de définir un mot de passe au nom de l’utilisateur légitime.

N’oubliez pas qu’un compte MyLV vous donne accès aux informations personnelles, aux commandes en ligne, à l’historique des achats, aux reçus électroniques et à d’autres informations confidentielles.

Par conséquent, une prise de contrôle de compte via ce bogue pourrait potentiellement avoir exposé l’historique d’achat et les données d’un utilisateur, qui doivent rester confidentiels.

Réinitialisation du mot de passe Louis Vuitton
Le site Louis Vuitton affiche parfois le message « Créer un compte »

Louis Vuitton corrige des bugs, merci chercheur

Aujourd’hui, Louis Vuitton a corrigé le bogue et comme noté par BleepingComputer, le site Web ne perd plus les adresses e-mail aléatoires et n’autorise plus les reprises de compte lors de la navigation vers l’URL de création de compte en question.

La société a remercié le chercheur d’avoir signalé le bogue dans un e-mail. Une traduction approximative de l’e-mail ci-dessous serait:

Cher M. Haddouche,

Comme déjà mentionné, j’ai hâte de vous répondre avec de plus amples informations.
J’ai le plaisir d’annoncer que la vulnérabilité susmentionnée a été résolue immédiatement par le service concerné.

Merci encore pour vos commentaires sur ce sujet et je m’excuse encore une fois sincèrement pour le malentendu de la première demande.

Je reste à votre disposition pour d’autres retours ou demandes de renseignements de votre part.

Je vous souhaite une bonne soirée,

Votre,
Pauline

Réponse de Louis Vuitton
Réponse de Louis Vuitton à l’annonce de la vulnérabilité par Haddouche

Bien que Louis Vuitton ait un HackerOne Prime de bogue La page ne semble pas être activement utilisée.

Lorsqu’on lui a demandé comment les entreprises pourraient aider les chercheurs à signaler plus facilement les vulnérabilités, Haddouche a déclaré à BleepingComputer:

«Je dirais que vous avez toujours un e-mail dédié avec des clés PGP ou une méthode sécurisée similaire pour signaler les problèmes de sécurité (la plate-forme YesWeHack Bug Bounty a un cryptage PGP en coulisse pour chaque rapport) ou un compte de fil ou de signal dédié pour signaler la sécurité vulnérabilités et les publier sur votre site Web ou dans un security.txt Fichier parce que nous avons pratiquement perdu 2 semaines et que la vulnérabilité a déjà été divulguée dans mes DM Twitter, puis en texte clair par e-mail pendant cette période. « 

«Toute personne ayant accès à sa boîte mail, à Twitter ou à mon compte aurait pu voir et utiliser les détails de la vulnérabilité», a-t-il conclu.





Source link

Recent Posts