IDOR

Source : billet de blog personnel (février 2026). Contexte : un instructeur de plongée et ingénieur plateforme relate la découverte (avril 2025) d’une faille critique d’authentification sur le portail membres d’un grand assureur de plongée immatriculé à Malte, puis son parcours de divulgation coordonnée et la réponse juridique reçue. • La vulnérabilité reposait sur des identifiants utilisateur numériques séquentiels utilisés pour la connexion et un mot de passe par défaut statique non imposé au changement lors de la première connexion, sans limitation de débit, verrouillage de compte ni MFA. Cela permettait d’accéder aux données personnelles (nom, adresse, email, téléphone, date de naissance) d’utilisateurs, y compris de mineurs. Le chercheur a confirmé le minimum nécessaire et a cessé ses vérifications. Divulgation initiale le 28 avril 2025 avec embargo de 30 jours (jusqu’au 28 mai 2025). ...

Selon TechCrunch, une vulnérabilité de type IDOR (Insecure Direct Object Reference) a affecté le site d’admission scolaire Ravenna Hub (VenturEd Solutions, Floride), exposant les données personnelles d’élèves et de leurs familles. TechCrunch a découvert la faille mercredi, a alerté l’éditeur, qui l’a corrigée le jour même. La publication a été différée jusqu’à vérification du correctif. • Nature de la faille: la modification de l’identifiant d’un profil élève directement dans l’URL permettait à tout utilisateur connecté d’accéder aux informations d’autres élèves. Les identifiants étaient séquentiels (numéros à 7 chiffres), facilitant l’énumération. ...

TechCrunch rapporte qu’une faille de sécurité dans l’app iOS Neon — une application virale qui enregistre les appels et rémunère les utilisateurs pour entraîner des modèles d’IA — a permis à « tout utilisateur connecté » d’accéder aux numéros de téléphone, enregistrements audio et transcriptions d’autres comptes. L’app, qui figurait parmi le top 5 des téléchargements gratuits sur iPhone et cumulait des milliers d’utilisateurs (dont 75 000 téléchargements en une journée), a été mise hors ligne après l’alerte des journalistes. ...