Talkspace menacé de poursuivre un chercheur en sécurité au sujet d’un rapport de bogue

Un chercheur en sécurité a déclaré avoir été contraint de supprimer un article de blog décrivant un bug apparent dans Talkspace. site Web qui lui a donné un an d’abonnement gratuit, après que l’entreprise a rejeté ses conclusions et envoyé une menace légale au chercheur.

John Jackson a déclaré qu’il avait pu s’inscrire à Talkspace, une application de thérapie populaire, comme s’il était un employé d’une des sociétés dont les régimes d’assurance maladie couvrent les services de Talkspace. Certains de ces liens d’inscription se trouvent dans les résultats de recherche Google, dont certains ne sont pas annoncés sur le site Web de l’entreprise.

Mais Jackson a déclaré qu’il n’avait trouvé que peu ou pas de preuves que la page d’inscription vérifie qu’un utilisateur est admissible à l’abonnement gratuit d’un an.

Jackson a testé sa théorie en créant un compte. Un mois plus tard, le compte est toujours actif, a-t-il déclaré.

Talkspace ne propose pas aux chercheurs en sécurité de soumettre des bogues. Avec l’aide de TechCrunch, le chercheur a contacté Talkspace pour avertir du bogue potentiel, craignant que des pirates ou des utilisateurs malveillants puissent abuser du système et réclamer une thérapie gratuite. Mais la société a rejeté ces allégations, disant à Jackson qu’elle avait «plusieurs processus internes en place pour se protéger contre les abus», sans fournir de détails.

Quelques heures après que Jackson ait publié ses conclusions sur son blog – que TechCrunch a vu – Talkspace a envoyé à Jackson une lettre de cessation et d’abstention, accusant le chercheur de diffamer Talkspace « en diffusant des contrevérités » dans son blog.

«En aucun cas, Talkspace ne facturerait à un partenaire d’entreprise ou à un plan de santé des services rendus à un utilisateur non jugé éligible par ce partenaire», indique la lettre, signée et envoyée par l’avocat général de Talkspace John Reilly.

« Cette lettre est une mise en demeure de cesser et de s’abstenir, ainsi que de retirer immédiatement ces déclarations avec des clarifications à vos inexactitudes flagrantes et dommageables », a déclaré la lettre. «Le non-respect de cette obligation entraînera des poursuites judiciaires supplémentaires et immédiates.»

Une fois atteint, Talkspace ne dirait pas officiellement quels sont ses mécanismes anti-fraude, ni si ou combien d’incidents frauduleux il a découverts, mais seulement que le programme d’inscription est «conçu en collaboration avec chaque partenaire en fonction de leurs objectifs individuels, », A déclaré Gil Margolin, directeur technique de Talkspace.

Nous avons publié la lettre de cesser et de s’abstenir. La lettre ne répondait pas aux affirmations techniques formulées par Jackson dans son article de blog.

( une fonction() {
var func = function () {
var iframe = document.getElementById (‘wpcom-iframe-b22f90be54428c4c6ecbc8c1dd08071b’)
if (iframe) {
iframe.onload = function () {
iframe.contentWindow.postMessage ({
‘msg_type’: ‘poll_size’,
‘frame_id’: ‘wpcom-iframe-b22f90be54428c4c6ecbc8c1dd08071b’
}, « https: / / tcprotectedembed.com »);
}
}

// Taille automatique iframe
var funcSizeResponse = fonction (e) {

var origin = document.createElement (‘a’);
origin.href = e.origin;

// Vérifier l’origine du message
if (‘tcprotectedembed.com’! == origin.host)
revenir;

// Vérifier que le message est dans un format que nous attendons
if (‘object’! == typeof e.data || undefined === e.data.msg_type)
revenir;

commutateur (e.data.msg_type) {
case ‘poll_size: réponse’:
var iframe = document.getElementById (e.data._request.frame_id);

if (iframe &&  » === iframe.width)
iframe.width = ‘100%’;
if (iframe &&  » === iframe.height)
iframe.height = parseInt (e.data.height);

revenir;
défaut:
revenir;
}
}

if (‘function’ === typeof window.addEventListener) {
window.addEventListener (‘message’, funcSizeResponse, false);
} else if (‘function’ === typeof window.attachEvent) {
window.attachEvent (‘onmessage’, funcSizeResponse);
}
}
if (document.readyState === ‘complete’) {func.apply (); / * compat pour un défilement infini * /}
else if (document.addEventListener) {document.addEventListener (‘DOMContentLoaded’, func, false); }
sinon if (document.attachEvent) {document.attachEvent (‘onreadystatechange’, func); }
}) ();

Une fois atteinte, la porte-parole de Talkspace, JoAnna Di Tullio, a renvoyé le commentaire à Reilly, qui a répété les affirmations de sa lettre, selon lesquelles la société est «bien consciente de la façon dont nous structurons nos relations avec les employeurs et garantit l’admissibilité à nos services», et a décrit le billet de blog de Jackson comme « pure diffamation »et« tout à fait faux ».

Le cas de Jackson n’est que le dernier exemple de chercheurs en sécurité confrontés à des menaces juridiques pour leur travail. Il y a quelques mois, la chercheuse en sécurité aérospatiale Chris Kubecka a déclaré qu’elle avait été menacée par Boeing après avoir découvert un problème de sécurité dans un avion. L’année dernière, deux chercheurs en matière de sécurité ont également été poursuivis alors qu’ils affirmaient avoir dépassé les limites de leur test de pénétration dans un palais de justice de l’Iowa. L’affaire a ensuite été classée.

De nombreuses entreprises adoptent aujourd’hui les chercheurs en sécurité en offrant des programmes de rapport de bogues, qui récompensent ou rémunèrent les chercheurs pour avoir trouvé des failles de sécurité et d’autres bogues qui pourraient autrement ne pas être signalés et exploités par des pirates malveillants.

D’autres sociétés, comme Dropbox, Mozilla et Tesla, vont plus loin en proposant des dispositions de «refuge» en promettant de ne pas engager de poursuites contre les chercheurs qui agissent de bonne foi.


Vous avez un conseil? Vous pouvez envoyer des conseils en toute sécurité via Signal et WhatsApp au +1 646-755–8849.

Traduit de l’anglais de https://techcrunch.com/2020/03/09/talkspace-cease-desist/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.