Connection à un autre compte en emettant une annonce

[Marker73]

Bonjour,

J'ai voulu publié une page pour mon entreprise de dessin (Marker : caricatures politiques, clé publique : FK3mGvuutDjHU6MsrVo775H9Yub961mHzW8XyVKwQbnq), ainsi qu'une annonce pour proposer mes services sur GChange.

Ces deux publications ont été publiées avec le compte d'une autre personne que je ne connais ni d'Eve ni d'Adam (Soins energetiques chinois E9h82nNfwqBtCmkhzC4rrYd7UzJHPussUCo5FSep6Jcc)

Je n'ai que de faibles connaisssance en informatique, et je n'ai pas la moindre idée de la facon où j'ai eu accès au compte de cette jeune femme.

Je me suis connecté comme d'habitude avec mes identifiants:mot de passe que je conserve sur papier. Après avoir publié mes annonces, je me suis rendu comtpe que je n'étais plus sur mon profil, mais sur celui de quelqu'un d'autre ! La bascule sur le profil de la personne semble s'être produit au moment d'éditer une page professionnelle (Entreprise). J'aurai pû modifier ses données personnelles car j'avais un controle total sur son compte...

Je pense qu'il s'agit là d'un grave problème de sécurité, et j'ai prévenu la personne qui a des annonces sur son compte à mon nom pour qu'elle les supprime. Si vous pouvez le faire vous, et la prévenir, ça serait super. Histoire qu'elle ne pense pas que j'essaie de l'arnaquer...

Merci beaucoup, tenez moi informé de la tournure des événements svp,

marc.rolland82@gmail.com

Cordialement

[c-geek]

L'explication la plus simple, si ce n'est pas un bug ğchange, c'est que vous utilisez les mêmes identifiants secrets.

[Marker73]

vu la complexité de mon identifiant, ça parait impossible (lettres, chiffres, caractères spéciaux)

[blavenie]

@Marker73 cela peut difficilement etre un problème de gchange, car les documents d'annonce sont signé côté client (dans le navigateur) avant d'etre envoyé vers les noeuds de données gchange. Pa railleurs, nous n'avons reproduit ce genre de problème, sur Cesium, qui a la même base technique.

Est-ce que par hasard tu n'aurais pas utilise rune ordinateur où un compte été déjà identifié ?

[Marker73]

Ok j'ai du neuf.

Mon compte se connecte automatiquement au compte de cette personne qui est localisée en Haute Garonne (moi en Savoie) lorsque je fais :

_ Créér une page

Là, la fenetre "nouvelle page" apparait et je constate que je suis sur un autre profil, en l'occurence E9h82nNfwqBtCmkhzC4rrYd7UzJHPussUCo5FSep6Jcc

En rafraichissant la page je suis bel et bien connecté sur un autre profil. Je peux modifier les infos personnelles, lire les messages, etc... Je dois alors me déconnecter pour me reconnecter a mon compte.

Je suis la seule personne a me servir de mon ordi, et la seule a avoir jamais été identifié dessus sur GChange.

Y'a un soucis avec le code je pense...

[blavenie]

Y'a un soucis avec le code je pense...

Franchement, je vois pas.

Pour prouver ce que tu dis, peux-tu juste :

• me donner ton compte membre, sur la g1 (ta clef publique) afin que je vérifie ton identité
• ajouter ta clef dans le profil Gchange de cette personne, par exemple tout à la fin de sa description.

Dès que j'aurais valider cela, j'ira plus loin, car franchement je suis dubitatif.

[Marker73]

Ma clé publique sur GChange : FK3mGvuutDjHU6MsrVo775H9Yub961mHzW8XyVKwQbnq Ma clé publique sur Césium : 63ypoP6HjkSmwCsvW11MMaHX32RAzHSaAS4S9d5DDGjX Je suis non-membre, j'habite dans les montagnes et c'est chaud d'avoir des certifs

Nom : ROLLAND Prénom : Marc Pseudo : Marker73

J'ai posté ma clé publique à la fin du profil de la personne ("A propos de moi")

[blavenie]

ok, merci ! je regarderai cela plus sérieusement ce mystère la semaine prochaine. Là, concentration pour le Festi'G1 ! ;)

[Oogway80]

Je confirme, il suffit juste de cliquer sur "créer une page" et on se connecte directement au compte de "SOINS ENERGETIQUES CHINOIS ..." clé publique: E9h82nNfwqBtCmkhzC4rrYd7UzJHPussUCo5FSep6Jcc

C'est gênant pour elle, et gênant pour tout ceux qui veulent créer une page car du coup, ce sera forcément sous son compte.

[blavenie]

Ok, j'ai enfin reproduis, et pu corriger. Le bouton "Créer une page" lancait effectivement la connection à un portefeuille vide (sans identifiant ni mot de passe), qui générait la clé publique E9h82nNfwqBtCmkhzC4rrYd7UzJHPussUCo5FSep6Jcc. Cette clef a sans doute été utilisée ensuite pour le profile de "SOINS ENERGETIQUES CHINOIS".

Je vais donc supprimer toutes les pages créées, puisqu'elles ont toutes été liées à ce compte faux.

[c-geek]

Merci @Marker73 et @Oogway80 pour l'investigation ! Et @blavenie pour le correctif ;)

[blavenie]

Oui, tu as raison @c-geek : j'ai fait un peu vite, et j'allais oublier de remercier les sentinelles qui ont permis de débusquer le problème : @Marker73 et @Oogway80 !

Heureusement, plus de peur que de mal. Seulement 8 ou 9 "pages" à refaire. Et 2 annonces. Je m'en sors bien. ouf !

[Marker73]

Bravo Messieurs ! Merci pour le correctif

[Oogway80]

:clap::clap::clap: