Moltbook Hacker découvre une violation majeure de la base de données exposant des figures de l'industrie de l'IA

Un chercheur en sécurité agissant en tant que hacker a révélé une vulnérabilité critique dans l’infrastructure de Moltbook, dévoilant que la base de données entière de la plateforme est accessible au public sans aucune encryption ni barrière d’authentification. Cette découverte, rapportée pour la première fois par Odaily, représente l’un des incidents de sécurité les plus graves ayant affecté des plateformes axées sur l’IA ces derniers mois.

Comment le hacker a identifié la vulnérabilité

Le hacker spécialisé en sécurité, Jamieson O’Reilly, est tombé sur un accès illimité à la base de données en enquêtant sur la plateforme Moltbook. Plutôt que d’exploiter cette faiblesse à des fins personnelles, O’Reilly a immédiatement tenté d’alerter les développeurs de Moltbook concernant cette exposition. L’incident souligne à quel point des négligences en matière de sécurité peuvent laisser des millions d’utilisateurs et des figures de haut profil exposés à des attaques ciblées.

L’évaluation technique de Typer : clés API et contournement de l’authentification

Les données divulguées contiennent quelque chose de bien plus dangereux que des identifiants utilisateur — des clés API exposées qui agissent comme des clés maîtresses pour les systèmes de la plateforme. Ces identifiants permettent aux attaquants de se faire passer pour n’importe quel utilisateur, y compris des comptes vérifiés et des agents de la plateforme. Cette faille de sécurité contourne essentiellement la couche d’authentification qui protège normalement les comptes utilisateurs, transformant une fuite de données en un vecteur de menace actif.

La brèche concerne de nombreux chercheurs en IA et figures de l’industrie de renom, notamment Karpathy, dont le compte compte 1,9 million de followers sur X. Avec un accès API compromis, un acteur malveillant pourrait publier du contenu sous ces comptes de haut profil sans détection, risquant de diffuser de la désinformation à grande échelle.

Scénarios d’attaque rendus possibles par cette vulnérabilité

Les clés API exposées ouvrent plusieurs voies d’attaque qui vont au-delà de simples prises de contrôle de comptes :

• Sabotage de la sécurité de l’IA : des fraudeurs pourraient publier de fausses déclarations sur la sécurité de l’IA et des recommandations de gouvernance sous le nom de Karpathy ou d’autres chercheurs respectés, induisant en erreur la communauté IA dans son ensemble
• Fraude financière : des attaquants pourraient utiliser ces comptes pour promouvoir des schemes de cryptomonnaie ou des arnaques d’investissement, exploitant la confiance que ces figures ont instaurée
• Manipulation politique : des comptes de haut profil pourraient être instrumentalisés pour diffuser des campagnes de désinformation politique, amplifiées par leur nombre de followers

Réponse urgente requise

O’Reilly a appelé à une intervention immédiate des équipes de sécurité, des gestionnaires de plateforme et des parties prenantes concernées pour contacter les fondateurs de Moltbook et remédier à cette exposition. Plus la base de données reste accessible au public longtemps, plus le risque que des acteurs malveillants exploitent ces clés API pour des attaques coordonnées augmente. Cet incident rappelle brutalement que même les plateformes axées sur l’innovation en IA doivent disposer de fondamentaux de sécurité solides pour protéger leurs utilisateurs et l’écosystème numérique dans son ensemble.