Un dangereux hax0r whitehat nous signale que le site de QABoss, la société chez qui EA sous-traite les inscriptions à la bêta de BF: Heroes, est une véritable passoire truffée de trous de sécurités gros comme une injection SQL dans l’URL. Il a pu récupérer leur base de donnée ainsi que des documents confidentiels dont l’un qui spécifie les conditions pour rentrer dans la bêta :
User must be 16 or over according to the information they left during signup.
They must not be from these countries: France, Spain, Italy, Portugal.
We either know them or they have filled out compelling information in their « why do you want to be a beta tester » fields.
Pour preuve, ce petite piratin nous a envoyé un screenshot avec une suite de passwords (en md5, mais décryptables), une liste de clefs pour la bêta de BF:Heroes, dont la mienne, ainsi qu’un dump complet de la base de données. Oups… QABoss est au courant depuis trois jours, mais ne semble pas réagir. C’est pour cette raison qu’on vous déconseille d’utiliser le même mot de passe partout.
On notera en passant que BF:Heroes a attiré 45.481 bêta testeurs alors que Quake-Live en compte 70.000. Etonnant…
