Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Quand Tesla donne les droits admin de ses forums à l’un de ses clients

@  — 

Dan est l’heureux propriétaire d’une Tesla et nouvel inscrit sur le forum de Tesla. Et ce qui lui est arrivé est plutôt amusant… Après avoir rédigé un post au sujet des horribles délais de livraison, il a souhaité l’éditer pour changer quelques petits détails… Et là, paf, c’est le thread (la conversation) entier qui disparait. Bizarrement, bien qu’il soit le propriétaire (« owner » en anglais) d’une Tesla, il n’est pas référencé comme tel sur le forum et ne peut donc pas poster plus d’un message par jour.

Dan appelle alors le support téléphonique de Tesla afin de se faire reconnaitre comme « owner » de Tesla. La personne du support Tesla qu’il a au bout du film lui explique alors qu’il ne sait rien au sujet de forums et que cela n’a surement pas de rapport avec le site officiel. Dan lui explique alors que l’URL est bien forums.tesla.com et l’agent décide alors de transmettre la demande de Dan au service informatique de Tesla.

On peut imaginer que cet agent demande littéralement au service informatique de passer le compte de Dan en compte « owner ». Ce qu’ils font sans réfléchir et c’est ainsi que quelques heures plus tard, Dan se retrouve avec les droits super admin sur tous les forums de Tesla.

Client Tesla avec droits admin de forum

Oups !

En explorant ses nouveaux super pouvoirs, Dan se rend compte qu’il peut éditer ou supprimer les posts de n’importe qui, et consulter les informations de contact de plus de 1,5 million d’inscrits.

Tesla ouvre les droits admin de forum à un client

Il retrouve alors les comptes de voisins et d’amis propriétaires de Tesla, mais aussi d’Elon Musk qui apparemment ne s’est pas connecté sur les forums depuis environ 3 ans et demi.

Forum Tesla avec client ayant droits admin

Il découvre aussi que plusieurs comptes admins sur les forums sont liés à des boites mail autres que @tesla.com.

Un client de Tesla devient admin de son forum

Et en cherchant à republier son premier thread disparu, Dan efface par mégarde des centaines de conversations. La boulette !

Évidemment, il prévient Tesla et publie un article sur son blog où il raconte toute cette aventure. Suite à cela, Tesla lui a remis des droits plus classiques, a fait le ménage parmi les comptes admin étranges (des anciens employés semble-t-il) et a invité Dan a soumettre le souci via son programme de Bug Bounty.

N’empêche, trop fort le Dan. Sans le vouloir, et sans forcer, il a réussi à mener à bien une opération de social engineering auprès du service informatique de Tesla. Moi je dis respect. 😉

Source


Que faire après le bac quand on est passionné de cybersécurité ?

Entièrement dédiée à la cybersécurité, l’école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l’école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).

Cliquez ici pour en savoir plus

Partenaire

Les articles du moment