Autor: Batou | 27.8.2013 |
Závažná chyba na nevšední sociální síti umožňovala jednouduché zobrazení e-mailu jakéhokoliv uživatele pouze na základě znalosti jeho přezdívky. Informace, které by měly být přístupné pouze vlastníkovi příslušného „Access tokenu“, byly však po jednoduché změně URL dostupné komukoliv. Spousta e-mailů, která se dala takto získat má jistě nezanedbatelnou hodnotu.
Následující URL a video mluví za vše:
https://api.pinterest.com/v3/users/Batou/?access_token=MTQzMTYwMjozNTcx OTE5NTE2MDQyNjcxNzc6MnwxMzc3MDY4 ODMyOjAtLTE2ZWJjNDg4NzYxYTFmZWIwZmU0ODcxYzc3ZWUyN2E2YTdhOWNlN2I=
Za zmínku stojí fakt, že od přístupu Pinterestu by se ostatní společnosti mohly učit. Jak jsem již uvedl, označili ho za svého hrdinu (po boku dalších dvou hackerů), ale také ihned po patchi této zranitelnosti mu dovolili zranitelnost prezentovat veřejnosti. To se nedá říct o jeho dalším nedávném prolomení bezpečnosti ve společnosti StumbleUpon, kde mu odhalení toho, jak se dostal k jménům, e-mailům, věkům i třeba lokacím uživatelů, nikdy nepovolili.