Un semplice exploit fa rischiare 70 milioni di email!

Creato il 28 agosto 2013 da Techzoom

Un semplicissimo exploit scoperto da un ricercatore promette l’imprevedibile. Una semplice dimenticanza ha permesso di utilizzare un exploit per trovare tramite il solo username l’indirizzo email! Ovviamente non si tratta di una sola mail ma di circa 70 milioni di utenti a rischio del famosissimo sito Pinterest!

L’exploit è un semplicissimo access token, in pratica non è altro che un link da inserirer nella barra url! Questo è l’exploit completo :

api.pinterest.com/v3/users/me/?access_token=MTQzMTYwMjozNTcxOTE5NTE2MDQyNjcxNzc6MnwxMzc3MDY4ODMyOjAtLTE2ZWJjN

Doveve vedete scritto ” me ” va rinominato in un user del sito e così solo cliccando il tasto invio avrete la mail dell’utente!

L’exploit è davvero molto semplice ma efficace, ovviamente  , “DAN” il ricercatore ha subito segnalato la falla all’azienda fornendo sia l’exploit che la soluzione , l’azienda ha provveduto a fixare il problema inserendo un controllo di coerenza tra username e token di richiesta. Questa stessa falla è stata trovata ultimamente anche su siti più importanti quali Facebook e StambleUPon


Potrebbero interessarti anche :

Possono interessarti anche questi articoli :