Sécu Geekzone : Risque énumération sur le mot de passe oublié

#1

Bonjour Geekzone !

En intro je m’excuse si le sujet a déjà été discuté, je ne l’ai pas trouvé.

En créant mon compte Geekzone je suis passé par le mot de passe oublié au cas où j’eusse déjà créé un compte que j’aurais oublié (accord des temps error please reboot), et j’ai remarqué que la saisie de l’email indique si le mot de passe est connu ou non.
Alors c’est pas ultra critique comme problème, mais ça permet potentiellement à un attaquant avec une liste de mail de valider lesquels sont sur Geekzone et de faire au hasard du phishing.

Bref, y’a une faille par énumération sur le mot de passe oublié :slight_smile:

Merci de votre attention,
Cordialement, des bises à la famille tout ça.
(A peine arrivé et déjà à foutre la merde)

1 Like
#2

Faut surement plus le remonter sur le discourse de discourse en fait ce genre de souci :slight_smile:

#3

Nan y’a une sécu je crois, les mecs vont pas en tester bcp avant de se faire jeter. Pour ce genre de questions ➜

C’est le forum des créateurs de Discourse.