Stručnjak za bezbednost Dan Melamed pronašao je ozbiljan bezbednosni propust u popularnoj društvenoj mreži Pinterest koji može dovesti do otkrivanja podataka iz preko 70 miliona naloga korisnika. Propust omogućava potencijalnom napadaču pregled svih adresa elektronske pošte koje su korisnici iskoristili za pristup Pinterest-u. Melamed je pomoću propusta mogao pročitati informacije o korisnicima iz njihovih access tokena.
Pri poseti sledećem URL-u:
https://api.pinterest.com/v3/users/me/?access_token=MTQzMTYwMjozNTcxOTE5NTE2MDQyNjcxNzc6
MnwxMzc3MDY4ODMyOjAtLTE2ZWJjNDg4NzYxYTFmZWIwZm
U0ODcxYzc3ZWUyN2E2YTdhOWNlN2I=
ako se promijeni /me/ deo adrese sa korisničkim imenom nekog drugog korisnika, moguće je iščitati njegovu adresu elektronske pošte.
Dakle, koristeći to saznanje, preko kakvog spear- phishing napada može se doći do adresa elektronske pošte svih korisnika Pinteresta. Jednostavno rešenje ovog propusta je poređenje vlasnika access tokena sa korisnikom čije su informacije zatražene.
Kompaniija Pinterest odmah je reagovala na ovo otkriće i vrlo brzo uklonila propust, dok je Melamed dobio svoje mesto na listi heroja Pinterest-a - listi osoba koje su prijavile ozbiljne propuste na toj društvenoj mreži.
Ozbiljan bezbednosni propust u Pinterest-u
10:03
nema komentara
Postavi komentar
Vaš komentar: