Fake Or News ? Le monde devient tellement bizarre qu'on a du mal à différencier le vrai du faux. Pourtant les news qui suivent ne sortent pas du Gorafi ou de The Onion. Elles sont 100% véridiques.

Les patrons de la Team Xecuter ont été arrêtés par la justice américaine et sont accusés de non seulement aider les joueurs à pirater les consoles Nintendo mais aussi d'en tirer profit. Il faut dire qu'en plus de vendre des dongles pour la 3DS et la Switch, la Team Xecuter vendait même un OS custom pour la Switch permettant d'utiliser des ROMs pirates. Le nom d'un des accusés ? Gary Bowser. Oui, Nintendo a fait arrêter Bowser. C'est limite trop beau pour être vrai et même Reggie Fils-Aimé ne s'en remet pas. On regrette juste que ses associés ne s'appellent pas John Kamek et Peter Maskass.

Rien n'arrête le sport aux US. Certainement pas un petit coronavirus de rien du tout. Mais comment faire pour remplir les stades sans tuer les spectateurs ? A chacun sa technique. Pour la NBA (basketball), on met des écrans géants au bord du terrain et les spectateurs se connectent via Teams. Pour la MLB (baseball), on insère des faux spectateurs comme dans les jeux vidéo pour un résultat certifié uncanny valley. Mais du côté de la NFL (foot US), on veut des vrais gens dans des vrais stades. Du coup : on accroche des bombes de désinfectants à des drones et on les fait survoler le stade. Je propose d'aller encore plus loin et d'utiliser les drones PENDANT les rencontres histoire de servir des bières et des hotdogs pour ne pas avoir besoin de se lever.

Lire la suite sur le site : Fake Or News - épisode 3.

We found a serious privacy vulnerability very quickly with the mobile app: all API endpoints were unauthenticated using only a long-ish “memberCode” to make requests. The memberCode itself is somewhat deterministic and is based on the date a user signed up for the service, however we found an even easier way using a shorter “friend code”.

A request with this six digit “friend” code returned a huge amount of information about that user, including very sensitive information such as their name, phone number, birthday, the exact co-ordinates where the app was opened, their longer “memberCode” value, and the user’s plaintext password (not that we need it).

It wouldn’t take an attacker more than a couple of days to exfiltrate the entire user database and use it for blackmail or phishing.

Vache, la vache !