Contexte: Billet de blog d’un chercheur en sécurité détaillant plusieurs failles majeures dans l’écosystème Petlibro (distributeurs, fontaines et caméras connectés), utilisés par des millions de propriétaires d’animaux.

🚨 Principales vulnérabilités:

  • Bypass d’authentification (prise de compte complète) via l’endpoint social login qui ne vérifiait pas les tokens OAuth et acceptait un identifiant Google côté client.
  • Absence de contrôle d’accès sur l’endpoint de détail des animaux permettant de consulter les informations de n’importe quel animal via son identifiant.
  • Exposition d’informations d’appareils (numéro de série, adresse MAC, nom du produit) récupérables à partir d’un ID d’animal lié.
  • Prise de contrôle d’appareils: les API d’appareils acceptaient n’importe quel numéro de série sans vérification de propriété (programmation des repas, déclenchement manuel, accès caméra, réglages, etc.).
  • Accès à des enregistrements audio privés en raison d’identifiants séquentiels et d’une API permettant d’associer n’importe quel audio à n’importe quel appareil, puis de récupérer l’URL.
  • Ajout non autorisé de co-propriétaires: contrôle en place seulement pour la suppression, pas pour l’ajout.

🎯 Impacts mentionnés:

  • Compromission de comptes et prise de contrôle d’appareils (alimentation, caméra, réglages).
  • Exposition de données personnelles et sensibles: données des animaux (nom, race, poids, activité), photos/avatars, enregistrements audio domestiques.
  • Risques opérationnels pour les propriétaires s’appuyant sur ces appareils (interruption d’alimentation, accès à des caméras, collecte de données privées).

🗓️ Chronologie de divulgation et réponse de l’éditeur:

  • 5 nov. 2025: signalement initial (6 vulnérabilités, détails et captures).
  • 6 nov.: accusé de réception; évaluation sous 5 jours ouvrés.
  • 8 nov.: offre de bounty de 500 $; calendrier: correctifs prioritaires « la semaine suivante », secondaires « avant fin d’année », login tiers « début d’année prochaine ».
  • 9 nov.: contestation du calendrier (gravité du bypass) et du montant.
  • 13–19 nov.: maintien de l’offre (500 $) et paiement; tentative d’imposer une lettre de confidentialité (NDA) après envoi des infos de paiement; refus explicite du chercheur le 30 nov.
  • 4 déc.: éditeur annonce « majorité des problèmes résolus » et un nouvel endpoint sécurisé; l’ancien endpoint vulnérable reste actif « pour compatibilité », avec promesse de forcer la mise à jour « sous deux semaines ».
  • 27 déc.: l’ancien endpoint vulnérable est encore actif.
  • 28 déc. (#Update): l’éditeur informe avoir retiré l’endpoint vulnérable après notification de la publication du billet.

🧰 TTPs et éléments techniques:

  • TTPs: validation OAuth absente côté serveur (broken authentication), manquements d’autorisation/IDOR, exposition d’identifiants d’objets (numéro de série/MAC), énumération par IDs séquentiels, contrôle d’accès insuffisant sur les partages, maintien d’un endpoint legacy vulnérable.
  • Endpoints mentionnés: /member/auth/thirdLogin ; /member/pet/detailV2 ; /device/devicePetRelation/getBoundDevices ; /device/deviceAudio/use.
  • IOCs: aucun indicateur réseau/maliciel (IP, domaines, hash) fourni dans la publication.

Type et objectif: Il s’agit d’un rapport de vulnérabilité public visant à documenter des failles critiques, leur impact, et la chronologie de remédiation/retirement de l’endpoint legacy.

🔗 Source originale : https://bobdahacker.com/blog/petlibro