Oui, vous devez signaler le problème à l'entreprise - avec précaution.

Mise à jour: une réponse plus courte mais très complète a été fournie par @crovers . Mais si vous avez de la patience ...

... le problème ici n'est pas simplement la possibilité de suivre J. Random Stranger, mais plutôt que:

• une fois que votre identifiant a été donné à quelqu'un, apparemment vous ne pouvez pas le reprendre et il n’expire pas. Cette personne peut désormais vous suivre partout (pensez à " petite amie trop attachée"). En outre, cet ID peut fuir. Les e-mails sont transférés par erreur et parfois le petit glyphe ... des programmes de messagerie couvre beaucoup d'informations sensibles.

• même besoin de me le donner . Si les identifiants sont séquentiels [comme commenté par @crovers], je peux tous les totaliser en très peu de temps, vérifier leur position et identifier facilement les cinq ou six qui sont assez proches de la position Je sais que vous pourriez être. Demain, cinq ou six autres seront assez près d'un endroit différent où vous êtes maintenant; de ces cinq, peut-être deux étaient dans les cinq originaux, donc vous devez être l'un de ces deux. En relativement peu de temps, j'ai réduit mes candidats à un : j'ai maintenant votre pièce d'identité et je peux vous traquer, et vous n'êtes pas plus sage .

• Je peux même ne pas vous connaître . L'identité peut être utilisée pour blaguer des inconnus. J'ai juste cherché un peu sur Google et j'ai trouvé quelques milliers d'utilisateurs Facebook qui se vantaient de leur nouveau (NOM DU GADGET LIÉ AU GPS). J'ai utilisé une marque très connue, donc votre gadget n'aura peut-être qu'une centaine de personnes que je pourrai découvrir facilement. La moitié d'entre eux, j'en suis convaincu, publieront régulièrement des photos de leur emplacement ( Facebook purge-t-il les informations GPS EXIF? ). Dans très peu de temps, l'un d'entre eux qui a attiré mon attention pourrait recevoir un message indiquant: "Quel temps fait-il à Old Nowhereville?" même s'il (ou elle) n'a jamais rien dit à qui que ce soit sur l'endroit où il (ou elle) était, ni même rien posté nulle part. De telles farces - et le fait de savoir qu'un inconnu est apparemment intéressé par vous et que semble toujours savoir où vous êtes - peuvent totalement gâcher votre journée. Et ils peuvent totalement gâcher la journée de l'entreprise, si certaines personnes farcies sont convaincues que leur GPS peut en quelque sorte être "piraté à distance", même si, comme dans ce cas, ce n'est pas du tout ce qui se passe. Oui, j'ai un esprit malade - mais je ne suis pas le seul, alors vous voudrez peut-être diriger les gens de l'entreprise vers cette page - et, pour répéter un autre très bon point soulevé par @crovers et Arminius, faites-le anonymement. Les dommages potentiels pour eux sont énormes, et vous leur faites une grande faveur en leur indiquant cela . Mais certaines entreprises peuvent avoir une réaction instinctive et essayer de vous intimider et de vous faire taire en croyant que cela résout quelque chose (ou même résout complètement le problème); L'histoire du prix Nobel Richard P. Feynman fait une lecture hilarante (" C'était sa solution: j'étais le danger! ").

Vous les aidez réellement.

• croyez-moi, beaucoup de gens feraient exactement ce que vous avez fait lorsque vous voyez "id = XXXXX" dans une URL. Je l'aurais fait. En fonction de la popularité du gadget, je parierais que beaucoup d'autres l'ont déjà fait. Ce n'est donc pas comme si vous déchaîniez une apocalypse zombie sur quiconque serait autrement resté en sécurité - vous serez probablement simplement le premier à avoir eu la conscience de leur dire qu'ils ne sont pas du tout en sécurité . Parce que c'est beaucoup plus rare que d'avoir la curiosité de changer un identifiant.

Cela ne devait absolument pas être comme ça.

Il est trivial simple, du point de vue de l'entreprise, de résoudre ce problème en permettant à chaque utilisateur de régénérer un identifiant secret différent à la demande à tout moment. Et même fixer une date d'expiration. Et ils peuvent encore le faire maintenant .

Une solution très rapide pourrait être de créer un proxy pour leur site Web via un simple filtre, connecté à une base de données.

Votre nouvelle URL est, par exemple, http://www.example.com/mylocation/?id=22b255b332474ae3e7f008cc50ebe3e0& ...

ou on pourrait traduire à "true.pony.pile.main.jazz.call.mine.soft.pink.rake.jane" pour obtenir quelque chose plus facilement mémorisé ou dicté par téléphone.

^{les quatre premiers mots sont en quelque sorte liés à "agrafe de batterie de cheval correcte"} .

Le proxy vérifie dans une base de données et trouve que 22b255b332474ae3e7f008cc50ebe3e0 est un identifiant valide, et est associé au "vrai" (ou "ancien") id 12345 , donc il transforme l'URL en remplaçant simplement l'identifiant par 12345, envoie la requête au vrai site Web caché, récupère la page, réécrit tous les 12345 avec le truc d'origine 22b2 ... , et hé hop! , l'externe l'utilisateur peut voyez où vous êtes, même page qu'avant, mais il n'a aucun moyen de savoir que le véritable identifiant est 12345 (et, même s'il le savait, il n'aurait aucun moyen de le faire parvenir au système, qui n'accepte désormais que les hachages ).

Mais maintenant, l'utilisateur 12345 peut avoir autant d'identifiants actifs que l'entreprise le souhaite (ou vend !), et en donner un à sa mère, un à son responsable de la sécurité, et bientôt. Un ID fuit, ou il rompt avec son ami - il invalide cet ID. Il devient également possible de savoir combien d'accès il y a eu à chaque ID, de sorte que l'espionnage peut être bidirectionnel. Peut-être pour les utilisateurs premium uniquement :-D. Pour certains identifiants, le site Web peut même publier des informations aléatoires ou des coordonnées GPS de faible précision.

Et si vous vouliez deviner au hasard un identifiant valide - eh bien, il y en a 2 ¹²⁸ . Si chaque client disposait d'une centaine d'identifiants jetables (disons 2 ⁷ ) et que l'entreprise comptait un milliard de clients (disons 2 ³⁰ ), il y aurait encore environ une possibilité sur 2 ⁹⁰ pour obtenir un identifiant valide en essayant au hasard. Si c'est trop peu (ou si mes calculs sont un peu de travers), il y a aussi des hachages plus gros.

Et l'ancien ID ne fonctionne plus car vous ne pouvez pas atteindre le serveur d'origine sans l'ID que vous fournir un hachage.

Compte tenu du coût d'implémentation raisonnable (une journée de travail pour un développeur et un ingénieur QA, et je bourre fortement ), je suis un peu déconcerté que cela n'ait pas été conçu dès le départ.

Oui. Ils devraient utiliser une chaîne longue et impossible à deviner au lieu d'une courte et prévisible.

Je considérerais cela comme une faille de sécurité qui leur est relativement simple à corriger.

Cependant, Je vous mets en garde - certaines entreprises ne gèrent pas très bien des situations comme celle-ci. Certains soutiennent (à mon avis à tort) que changer cet identifiant constitue un piratage et ils peuvent menacer de poursuivre ou de vous faire accuser. C'est idiot, mais je vous conseille de les approcher de manière anonyme ou via un intermédiaire.

Vérifiez s'ils ont un programme de primes - (nom de la société Google et prime de bogue). Si ce n'est pas le cas, vous pouvez envisager de faire appel à un intermédiaire - Zero Day Initiative en est une.

Pour ajouter aux autres réponses - soyez conscient des risques de signaler le problème vous-même :

Si vous n'avez pas d'expérience en matière de signalement de problèmes de sécurité, vous pourriez rencontrer eux comme douteux et potentiellement malveillants. Une entreprise qui n'a pas l'expérience de la gestion des problèmes de sécurité peut transmettre votre rapport à l'avocat de l'entreprise plutôt qu'au service informatique. De toute évidence, vous voulez simplement aider, mais pour eux, vous causez principalement des problèmes. Il y a de fortes chances qu'ils ne souhaitent pas que le problème soit rendu public (ce qui pourrait nuire gravement à la réputation de leur entreprise) et qu'ils pourraient donc vous menacer de conséquences juridiques. Dans le pire des cas, ils contacteront les forces de l'ordre sans autre préavis.

Étant curieux, j'ai tronqué la partie lat / lon de l'URL et changé l'identifiant d'un caractère.

Vous n'avez donc pas trouvé cela par hasard. Du point de vue de l'entreprise, vous avez eu accès aux données d'autres clients en manipulant l'URL - peu importe à quel point c'était facile et que vous l'ayez fait "juste par curiosité". Ils pourraient toujours vous voir comme une menace et réagir de manière non professionnelle.

Vous devez être conscient de cette interprétation possible et décider soigneusement si cela en vaut la peine. Si vous gérez des bogues de sécurité sans contrat ou politique publique qui encourage la chasse aux bogues, vous êtes dans une zone grise légale.

Si j'étais vous, je dirais quelque chose comme

  Bonjour, j'ai mal saisi mon identifiant (par exemple 12345) et appuyé sur Entrée au lieu de retour arrière, et j'ai été stupéfait de constater que la page chargé et trouvé l'emplacement d'un inconnu qui a l'ID à côté de la mienne (par exemple 12346). Être capable de suivre quelqu'un sans sa permission semble être un problème de sécurité, comme le serait quelqu'un qui me connaît sur Facebook avec un peu de connaissances informatiques capable de deviner mon identifiant sans que je le sache.  

En gros, disons que vous l'avez trouvé non pas par curiosité mais par accident. Envoyez-le également de manière pseudo anonyme (par exemple, n'utilisez pas votre véritable identifiant et envoyez-le par courrier électronique en utilisant quelque chose comme jon.doe@gmail.com).

Vérifiez votre courrier avant de l'envoyer et demandez peut-être à quelqu'un que vous connaissez de le lire. .

Lisez-le comme si vous étiez la colère personnifiée, cela pourrait vous aider à l'aplanir afin de ne pas laisser quelqu'un qui a commencé sa journée en se cognant l'orteil sur le montant du lit laisser échapper sa colère sur vous.

S'ils ne répondent pas ou ne font rien pendant un certain temps, dites (peut-être après un mois ou deux, car il s'agit d'un problème de sécurité moyen) que vous aimeriez qu'ils fassent quelque chose à ce sujet ou vous essaierez d'avertir les autres utilisateurs de ce problème. S'ils ne font toujours rien, faites-le, mais soyez prévenus, ils pourraient ne pas l'aimer. voir ce cas zamfoo

Insistez sur le fait que si vous le trouviez aussi trivial que celui-ci, quelqu'un de pire pourrait l'utiliser à des fins néfastes, et d'autres utilisateurs pourraient avoir trébuché dessus et s'inquiéter aussi .

Faites preuve de bon sens pour apparaître comme un utilisateur concerné qui est tombé sur quelque chose de bizarre ou un ami de cet utilisateur, cela fonctionne aussi. Un peu de «mensonge», beaucoup de calme et de politesse va un long chemin à tester les eaux. S'ils semblent assez amicaux, vous pourriez dire que vous êtes compétent (si vous l'êtes) et que vous pouvez les aider à suivre le problème.

Si vous les aidez et qu'ils sont sympathiques, vous voudrez peut-être leur demander s'ils veulent que vous vérifiiez activement d'autres problèmes potentiels. (S'ils ont une grande expérience avec vous qui pourrait vous aider à trouver un emploi (ils peuvent parler de vous, à quel point (amical mais professionnel) vous êtes, etc. à d'autres personnes qui pourraient vous vouloir. Ou simplement servir de référence), ou des amis.)

C'est aussi l'occasion pour eux d'obtenir de la publicité gratuite, s'ils réagissent bien, vous serez probablement enclin à en parler à des personnes susceptibles d'être intéressées.

Quoi que vous et eux fassiez, restez calme, ne montez pas rapidement, comprenez leur point de vue et NE PAS APPARAÎTRE COMME UNE MENACE (1)

Si vous ressemblez à vous pouvez les endommager plus que vous ne l'aideriez, c'est le moyen le plus rapide de les mettre sur la défensive et d'obtenir des menaces d'avocat / une affaire réelle si vous avez fait quelque chose de stupide et que vous n'avez pas couvert votre terrain.

(1) Cela fonctionne dans la plupart des cas, non seulement quand on parle de sécurité, mais aussi avec des personnes plus ou moins en colère (collègues, patrons).

Digression: La seule fois où vous voudrez peut-être apparaître comme une menace, c'est si vous êtes menacé par quelqu'un / quelque chose de sûr que rien ne s'opposera jamais à eux (par exemple un chien très en colère), marchez calmement vers eux en ne montrant aucune peur (même si vous faites brunir votre pantalon), ils commenceront probablement à aboyer davantage, mais ils reculeront lentement et vous laisseront passer (ou vous tuer / mutiler, mais si vous fuyiez, ce serait pareil).

ps: Soyez critique de ce que je dis, je suis un humain stupide, et je ne possède pas la vérité absolue, si quelque chose semble mieux, méditez sur les idées, faites ce qui semble le mieux et voyez ce qui se passe, apprenez.

(N'hésitez pas également à proposer des modifications si cela semble trop déstructuré / long / rambly, je ne mord pas.)

Tout le monde semble sauter l'arme ici. L'élément clé à considérer est COMMENT , en tant qu'utilisateur final, partagez votre position avec d'autres utilisateurs finaux (famille / amis).

Si vous affichez les informations avec un lien, et que vous êtes capable d'envoyer le même lien aux membres de la famille, il est supposé que vous publiez des informations publiquement (il n'y a pas de système d'autorisation).

La déclaration de confidentialité ou les conditions d'utilisation devraient le préciser. Qui peut accéder à vos données de localisation? Quelles informations sont fournies publiquement? Cela clarifierait certainement la question que vous avez proposée.

Utiliser un simple lien Web n'est pas la façon dont je concevoirais un tel système, mais cela semble complètement intentionnel. Je vous suggérerais peut-être de leur poser des questions sur les paramètres de confidentialité.

C'est une question intéressante, dans la plupart des systèmes, je la considérerais comme une vulnérabilité de référence directe non sécurisée exposant des données de localisation.

La localisation GPS en temps réel doit être considérée comme sensible, elle peut avoir plusieurs utilisations néfastes. Dans ce cas, bien que ce soit le point entier du système et bien que je pense que les identifiants devraient être plus difficiles à deviner tout en restant utilisables (être alphanumériques par exemple), les données ne sont pas identifiables pour un utilisateur spécifique. Il pourrait également être sécurisé par un mot de passe que vous fournissez aux utilisateurs auxquels vous souhaitez accorder l'accès.

Je ne pense pas que ce soit un risque de sécurité en tant que tel, juste une mauvaise implémentation. La question est de savoir si vos informations ou votre vie privée ont été violées si un étranger accédait à votre page? Si c'est le cas, soulevez-le avec le fabricant.

Edit: - A révisé mon avis à ce sujet. Je considérerais ce système vulnérable. Les identifiants devraient être plus difficiles à deviner et idéalement protégés par mot de passe.

Ce problème se produit en raison de la référence d'objet Direct et des ID facilement énumérés. Nous ne devons pas utiliser d'identifiants facilement énumérés dans aucun système, car cela permet à l'attaquant de deviner facilement. Si vous ne pouvez pas deviner les identifiants, nous pouvons également réduire le risque de référence directe aux objets. Ils doivent une valeur d'ID aléatoire ou un GUID pour que l'utilisateur représente un utilisateur.

Comme je pense que c'est un flux majeur et que la société devrait fournir une API où la famille / ami s'est authentifié avant de pouvoir vous suivre. Comme @Arminius l'a suggéré, nous ne pouvons pas prédire comment la société de produits acceptera votre découverte. Il est toujours préférable d'informer cela en tant qu'Anonyme. Sinon, utilisez un modèle ou des conditions de Divulgation responsable.

Cela ne représente pas une faille. Il semble qu'ils pensent que c'est un risque acceptable. Je me demande à quel point il serait facile de parcourir les UID par programme et de collecter des données auxquelles vous pourriez vous référer pour identifier quelqu'un. S'ils ont simplement salé la pièce d'identité, vous pouvez toujours la partager ouvertement, mais vous ne pouvez pas facilement parcourir les emplacements des personnes.

J'ai récemment acheté un communicateur satellite qui me permet d'envoyer une carte de ma position à mes amis et à ma famille pendant que je marche dans la nature

Sur la base de la mise en évidence, je pense que la personne a acheté principalement un appareil de suivi dont le but principal est de mettre à jour fréquemment sa position dans un endroit accessible au public et prévisible sur Internet afin que recherche et les services de secours ont un accès facile et gratuit à vos informations de localisation pour vous aider dans votre sauvetage.

Je ne serais pas surpris si l'appareil n'était pas livré avec une carte avec l'URL ou le lieu prévisible d'écrire votre pièce d'identité dessus pour obtenir les informations de localisation avec l'intention que cette carte soit ensuite remise à la recherche et au sauvetage par votre famille lorsque vous avez besoin d'être secouru.

Si les données étaient sécurisées, elles deviendraient beaucoup plus problématique pour la recherche et le sauvetage pour y accéder. D'autant que l'appareil peut fonctionner dans le monde entier et que les lois sont différentes selon les endroits, il est fort possible que même si les membres de la famille pourraient fournir leurs informations de connexion aux membres de l'équipe de recherche et de sauvetage, ils ne soient légalement pas autorisés à utiliser vos informations d'identification pour utiliser ce service.

Un flux mis à jour en direct de votre position est également beaucoup plus utile, en particulier dans les situations où il faudrait beaucoup de temps pour vous rejoindre à pied et où la personne avec le traqueur est toujours en déplacement.

La possibilité d'envoyer un e-mail qui informe quelqu'un de votre position actuelle est un moyen de s'enregistrer. En l'absence d'e-mails d'enregistrement après x durée ou à des heures spécifiques ou à des heures et des lieux spécifiques, alors c'est un indicateur au membre de la famille pour appeler la recherche et le sauvetage. C'est un moyen peu coûteux de pouvoir s'enregistrer sans acheter un véritable téléphone satellite pour s'enregistrer pendant que vous sortez au milieu de nulle part.

Si vous ne souhaitez pas être suivi, éteignez l'appareil et il ne mettra plus à jour vos informations de localisation.

On dirait que c'est ainsi que le produit a été conçu. Il utilise un UID + LAT / LONG pour partager votre position avec les gens ... vous dites donc que vous avez découvert comment le produit a été conçu. Aucun défaut là-bas. Devraient-ils peut-être mettre en œuvre un système de sécurité dans lequel vous avez besoin d'un code PIN ou de quelque chose pour accéder aux données de localisation? sûr. Mais si le but du produit est de partager votre position, alors vous venez de découvrir le moyen le plus court de voir la position d'autres personnes, à savoir ... attendez ... ce pour quoi il a été conçu.

Si vous le souhaitez, soumettez une demande de fonctionnalité et dites "hé, vous devriez utiliser des codes PIN ou quelque chose parce que n'importe qui peut voir la position de quelqu'un d'autre, etc." mais sinon, cela ne semble pas être une faille basée sur ce que vous avez décrit.