Attaque de désanonymisation 0 clic ciblant Signal, Discord et des centaines de plateformes
Un lycéen de 15 ans, Daniel, a découvert une faille critique de désanonymisation 0 clic exploitant le mécanisme de cache de Cloudflare. Cette vulnérabilité permet aux attaquants de localiser les utilisateurs dans un rayon de 250 miles en envoyant une charge malveillante à des applications vulnérables telles que Signal, Discord et des centaines d'autres. L'attaque ne nécessite aucune interaction de l'utilisateur et peut même être effectuée via des notifications push. Daniel a développé un outil, Cloudflare Teleport, pour démontrer l'exploitation. Bien qu'il ait signalé la vulnérabilité de manière responsable, les réponses des entreprises concernées ont été largement insatisfaisantes. Cela souligne les risques de sécurité potentiels inhérents à la mise en cache CDN et souligne l'importance de la sensibilisation à la vie privée des utilisateurs.