Publié initialement à : https://korben.info/quand-tesla-donne-les-droits-admins-de-ses-forums-a-lun-de-ses-clients.html
Dan est l'heureux propriétaire d'une Tesla et nouvel inscrit sur le forum de Tesla. Et ce qui lui est arrivé est plutôt amusant... Après avoir rédigé un post au sujet des horribles délais de livraison, il a souhaité l'éditer pour changer quelques petits détails... Et là, paf, c'est le thread (la conversation) entier qui disparait. Bizarrement, bien qu'il soit le propriétaire ("owner" en anglais) d'une Tesla, il n'est pas référencé comme tel sur le forum et ne peut donc pas poster plus d'un message par jour.
Dan appelle alors le support téléphonique de Tesla afin de se faire reconnaitre comme "owner" de Tesla. La personne du support Tesla qu'il a au bout du film lui explique alors qu'il ne sait rien au sujet de forums et que cela n'a surement pas de rapport avec le site officiel. Dan lui explique alors que l'url est bien forums.tesla.com et l'agent décide alors de transmettre la demande de Dan au service informatique de Tesla.
On peut imaginer que cet agent demande littéralement au service informatique de passer le compte de Dan en compte "owner". Ce qu'ils font sans réfléchir et c'est ainsi que quelques heures plus tard, Dan se retrouve avec les droits super admin sur tout les forums de Tesla.
Oups !
En explorant ses nouveaux super pouvoirs, Dan se rend compte qu'il peut éditer ou supprimer les posts de n'importe qui, et consulter les informations de contact de plus de 1,5 millions d'inscrits.
Il retrouve alors les comptes de voisins et d'amis propriétaires de Tesla, mais aussi d'Elon Musk qui apparemment ne s'est pas connecté sur les forums depuis environ 3 ans et demi.
Il découvre aussi que plusieurs comptes admins sur les forums sont lié à des boites mails autres que @tesla.com.
Et en cherchant à republier son premier thread disparu, Dan efface par mégarde des centaines de conversations. La boulette !
Évidemment, il prévient Tesla et publie un article sur son blog où il raconte toute cette aventure. Suite à cela, Tesla lui a remis des droits plus classiques, a fait le ménage parmi les comptes admin étranges (des anciens employés semble-t-il) et a invité Dan a soumettre le souci via son programme de Bug Bounty.
N'empêche, trop fort le Dan. Sans le vouloir, et sans forcer, il a réussi à mener à bien une opération de social engineering auprès du service informatique de Tesla. Moi je dis respect ;-)