Ce matin deux personnes (respectivement Greg et Arkan) m’ont rapporté avoir reçu un message des plus charmants sur BlogBang :
Emanant du profil “mirian4love“, typique d’un nom d’utilisateur spammant les autres et ayant généralement une adresse email en Yahoo.com, il semble que le petit malin qui est derrière cette opération se soit amusé à envoyer des messages aux gens chez qui le lien “lui écrire” apparait sur leurs profils :
Pour info , si vous souhaitez éviter ce type de messages, allez régler vos paramètres de sécurité dans votre compte BlogBang (lien direct) et décochez la case Je souhaite pouvoir être contacté par d’autres membres (votre email restera cependant invisible).
Second billet sur BlogBang à venir dans l’après-midi 😉
7 réponses sur « BlogBang victime de spam? »
Je me suis aussi fait la réflexion du contact apparent. Mais quand même ça me lourde de devoir cacher ça, a la base j’ai pensé que Blogbang serait un truc un peu sérieux à ce niveau.
Si je me fais un Ziki ou un LinkedIn ça me saoulerai de pas pouvoir mettre mon moyen de contact pour cause de spam… m’enfin on va cacher ça maintenant puisqu’il faut bien ^^
Ralala Myrian c’est pas bien de pas être fidèle comme ça dés le premier matin 😀 😀
J’ai reçu ce mail également, j’ai signaler un abus directement depuis le site, si ca ce reproduit trop souvent… couik!
Idem…
[…] de détails pour se débarasser de ce genre de spam chez Gonzague. En tout cas, c’est pas ça qui va arranger la réputation déjà entamée de […]
Ce membre, nouvellement inscrit depuis hier soir, qui a utilisé le site à des fins non conformes, a été immédiatement désactivé.
Nous vous rappelons que :
– votre email n’est jamais visible, en particulier pour les personnes qui vous envoient des mails
– vous avez le choix effectivement dans votre inscription de recevoir ou non des mails d’autres membres affiliés. Ce choix peut être changé à tout moment.
Vous pouvez en revanche rester ouverts aux mails des annonceurs qui vous feront parvenir des informations sur leurs campagnes.
– Vous avez la possibilité de “signaler un abus” sur un membre, une pub, un brief… cet abus nous est remonté. N’hésitez pas à l’utiliser.
En tous cas, nous sentons que le courant passe avec Mirian…;-)
Ou peut être que Blogbang est derrière tout ça ?
L’art de faire du buzz avec les blogueurs par Blogbang
Bonjour,
Attention Blogbang, n’est pas un site transparent et sécurisé,
leur serveur est surement bien sécurisé, mais la faille vient
du site, qui est non sécurisé et qui offre tout les accés et oui,
vous avez bien lu, un travail d’amateur .
N’importe qui, meme un gamin peut s’amusé avec les failles du site.
Grace à ses failles, il est trés facile d’avoir les adresse mail et profils des utilisateurs inscrit, la façon faire est le Cross Site Scripting, et puisque tu parlais de blogbang, se site est bourré de se type faille quand tu post un script dans leur formulaire, à l’affichage le script se lance.
ils ont fait d’énormes erreurs de débutant toutes les transactions du site en y incluant la suppréssion d’un compte sont visible, en plus cela est en GET cela permet de connaitre qu’elles sont les variables connu par le site pour lançer une action par la page appelée.
Une fois logué, une session utilisateur se créer et à se moment là,
on peut faire du Cross Site Scripting sans probleme, inséré des script dans des POST de formulaire par exemple un script:
alert(“TOTO”);
Essayez cela fonctionne, n’oubliez pas de le placé entre 2 balise script .
Là, sa va c’est un script gentil qui affiche une alert avec le texte “TOTO” inscrit dessus, mais imaginé quelqu’un qui veut mettre plus qu’un simple alert car il y’a aucune transparence dans les transactions du site.
Il suffit de vous connecté de repérer les URL des lien en affichant la source ou tout simplement en regardant l’URL dans le browser, car comme je vous l’ai ecrit au dessus les actions sont en GET.
exemple:
Sur votre compte blogbang vous pouvait vous désinscrire, faite un affichage source de la page de désinscription et repérer l’endroit au se trouve le lien de suppression de votre compte, copier le et ensuite aller à l’ajout d’adresse web/blog (un truc comme ça) et la vous placer entre balise :
location.href=”coller ici”;
puisque se lien est un lien de désinscription d’accord de l’utilisateur,
se qui va se passé est que tous les utilisateurs logués sur le site qui
tomberont sur se POST lancera systemtiquement le script à l’affichage, et hop, l’utilisateur est desinscrit.
A se niveau là, blobang est un site trés amusant pour faire de cross site scripting.
Donc si vous voulez vous inscrire à Blogbang, ne mettez pas, de véritable information dans votre profile.
Je crois que blogbang ne maitrise pas la technology qu’ils utilisent, c’est juste jolie.