Thursday, June 13, 2024

----- ENGLISH FOLLOWS

Un cas intéressant d'exposition de données à l'UDA.


Le site web comprenait une seule ligne de texte qui pouvait totaliser plusieurs centaines de kilo-octets et qui était essentiellement un morceau de la base de données.

La bonne nouvelle, c'est qu'il est très probable que personne de malveillant n'ait eu connaissance de ce problème ou ne l'ait exploité.


Le problème a été découvert par des chercheurs en sécurité travaillant sur un projet de scrapping web.


Le problème a été soulevé par un journaliste qui a contacté l'UDA, qui a immédiatement résolu le problème. L'article a ensuite été publié par LaPresse.

J'ai enregistré une brève présentation de haut niveau du problème.


----- ENGLISH

An interesting case with a security exposure at the UDA.


The website, included a single line of text that could total several 100 kilobytes and was essentially a chunk of the backend database.

The good news is that it is most likely that no one malicious knew of this issue or leveraged it.


The issue was found by security researchers working on a web scrapping project.


The issue was brought forth by a journalist who contacted the UDA, and they immediately resolved the issue. The article was then published by LaPresse.

I recorded a short high level walkthrough of the issue.

 ------------

LaPresse, 13 juin 2024


 
 

 
 

-------------

Eric Parent est un expert en sécurité, spécialisé dans le coaching de cadres supérieurs.  Il enseigne occasionnellement la cybersécurité à l'Ecole Polytechnique et aux HEC à Montréal, et est PDG de Logicnet/EVA-Technologies, l'une des plus anciennes sociétés privées de sécurité au Canada.


Suivez Eric sur :

Twitter : @ericparent

LinkedIn : EVA-Technologies



Imagine a Vulnerability Testing tool that defaults to showing you partial results

Well, to my surprise, Tenable.IO has added a new setting that defaults to NOT showing you everything. So when creating a new scan, you are f...