Πέρυσι, ο ερευνητής ασφαλείας Jamal Eddine ανακάλυψε ένα bug στο Foursquare, που θα μπορούσε να έχει αξιοποιηθεί από εγκληματίες του κυβερνοχώρου, για την απόκτηση των πρωτογενών διευθύνσεων ηλεκτρονικού ταχυδρομείου οποιουδήποτε χρήστη του κοινωνικού δικτύου.
Το κενό ασφάλειας είχε αντιμετωπιστεί άμεσα από το κοινωνικό δίκτυο, όμως ο εμπειρογνώμονας δημοσίευσε τα ευρήματά του μόλις πριν από λίγες ημέρες.
Το bug βρέθηκε στα αιτήματα φιλίας που αποστέλλονται μεταξύ των χρηστών. Η διεύθυνση URL του αιτήματος περιέχει μία παράμετρο που ονομάζεται “uid”, η οποία συνδέεται με τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα.
Μέσω της αλλαγής της τιμής της μεταβλητής, θα μπορούσε να ληφθεί η κύρια διεύθυνση ηλεκτρονικού ταχυδρομείου οποιουδήποτε χρήστη του Foursquare.
[wdca_ad id=”73088″ ]
O ερευνητής ενημέρωσε την εταιρεία σχετικά με το ελάττωμα ασφάλειας, το οποίο επιδιορθώθηκε μέσα σε 24 ώρες. Το Foursquare δεν διαθέτει κάποιο πρόγραμμα bug bounty, ώστε να ανταμείψει τον ερευνητή, αλλά συμπεριέλαβε το όνομα του στο Ηall of Fame. Πρόσθετες πληροφορίες σχετικά με την ευπάθεια είναι διαθέσιμες στο blog του Eddine.
