Pinterest Exploit

Ευπάθεια στο Pinterest εκθέτει 70 εκατομμύρια λογαριασμούς

Μια κρίσιμη ευπάθεια στο εκθέτει 70 εκατομμύρια λογαριασμούς σε πιθανά , σύμφωνα με τον ερευνητή ασφαλείας Dan Melamed. Η ευπάθεια φέρεται να επιτρέπει στους κυβερνο-εγκληματίες για να δουν τις διευθύνσεις e-mail όλων των χρηστών του Pinterest.

Pinterest Exploit

Με την αλλαγή του  /me/ στη διεύθυνση:

https://api.pinterest.com/v3/users/[highlight]me[/highlight]/?

με το όνομα κάποιου άλλου, ο καθένας είναι σε θέση να δει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη. Σύμφωνα με τον ερευνητή, το ελάττωμα λειτουργεί για οποιονδήποτε χρήστη του Pinterest και με οποιοδήποτε διακριτικό πρόσβασης.

“Το Pinterest έχει πάνω από 70 εκατομμύρια χρήστες και δεδομένου των υψηλών προφίλ και τα εμπορικά σήματα που χρησιμοποιούν την ιστοσελίδα, μια τέτοια ευπάθεια στα χέρια ενός blackhat μπορεί να φέρει την καταστροφή,” αναφέρει ο . “Ένας παραδείγματος χάρη θα μπορούσε να στήσει ένα bot και να ανακτήσει όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και να τις προωθήσει για spam ή για άλλους κακόβουλους σκοπούς.”

Ο ερευνητής ασφαλείας έδωσε μια απλή λύση για το exploit του Pinterest. Αν η ιστοσελίδα καταφέρει να πραγματοποιεί τον έλεγχος στο access token του ιδιοκτήτη, το πρόβλημα θα σταματήσει να υπάρχει. Ο Melamed δημοσίευσε επίσης ένα βίντεο για να αποδείξει την ευπάθεια στο Pinterest.

  Ίδιοι κωδικοί πρόσβασης σε όλες τις διαδικτυακές πλατφόρμες; Σκεφτείτε το ξανά!

Η ομάδα ασφάλειας της ιστοσελίδας δήλωσε ότι η ευπάθεια έχει ήδη διορθωθεί και πρόσθεσε τον εμπειρογνώμονα ασφάλειας στo Heroes List του site μαζί με δύο άλλους ερευνητές.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

One Comment

Leave a Reply

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).