J'ai piraté une app web en 6 minutes

J'ai piraté une app web en 6 minutes. Clic droit. Code source. Ctrl+F. "apiKey". Leur clé Firebase était là, en clair. J'ai simulé la création d'un compte via leur API. 23 lignes de code plus tard : 3 005 utilisateurs. 880 événements. 86 DJs. Noms, emails, dates de naissance, données de paiement. Sur mon bureau. Sans forcer quoi que ce soit. Le pire ? L'équipe pensait être protégée parce qu'elle avait un certificat SSL. SSL chiffre le transport. Pas votre app. Pas vos endpoints. Pas vos données. 17 vulnérabilités identifiées. 3 critiques. 6 élevées. On a tout corrigé en une semaine. Bien sûr, j'ai contacté l'équipe et restitué les données. Votre app est peut-être dans le même état. Vous ne le savez juste pas encore.