Orange
Мастер слова
- Регистрация
- 7 Окт 2017
- Сообщения
- 8,672
- Реакции
- 1,321
Стартап Social Captain, который предлагал для пользователей возможность увеличения количества подписчиков в социальной сети, раскрыл данные по паролям тысяч аккаунтов проекта.
В описании услуг сервиса отмечается – достаточно подключить к платформе свой профиль, чтобы увеличить общее количество подписчиков.
Но в итоге было установлено – все пароли хранились в сервисе в виде простого текста. Не было никаких сложностей, чтобы ознакомиться с открытыми учетными данными – достаточно было изучить исходный код страницы сервиса.
Усугублялась ситуация программным багом, за счет которого у любого посетителя была возможность обойти аутентификацию проекта. Для этого просто подставлялся уникальный идентификатор пользователя в URL портала.
В описании услуг сервиса отмечается – достаточно подключить к платформе свой профиль, чтобы увеличить общее количество подписчиков.
Но в итоге было установлено – все пароли хранились в сервисе в виде простого текста. Не было никаких сложностей, чтобы ознакомиться с открытыми учетными данными – достаточно было изучить исходный код страницы сервиса.
Усугублялась ситуация программным багом, за счет которого у любого посетителя была возможность обойти аутентификацию проекта. Для этого просто подставлялся уникальный идентификатор пользователя в URL портала.