Μια κρίσιμη ευπάθεια στο Pinterest εκθέτει 70 εκατομμύρια λογαριασμούς σε πιθανά hacking, σύμφωνα με τον ερευνητή ασφαλείας Dan Melamed. Η ευπάθεια φέρεται να επιτρέπει στους κυβερνο-εγκληματίες για να δουν τις διευθύνσεις e-mail όλων των χρηστών του Pinterest.
Με την αλλαγή του /me/ στη διεύθυνση:
https://api.pinterest.com/v3/users/[highlight]me[/highlight]/?
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
με το όνομα κάποιου άλλου, ο καθένας είναι σε θέση να δει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη. Σύμφωνα με τον ερευνητή, το ελάττωμα λειτουργεί για οποιονδήποτε χρήστη του Pinterest και με οποιοδήποτε διακριτικό πρόσβασης.
“Το Pinterest έχει πάνω από 70 εκατομμύρια χρήστες και δεδομένου των υψηλών προφίλ και τα εμπορικά σήματα που χρησιμοποιούν την ιστοσελίδα, μια τέτοια ευπάθεια στα χέρια ενός blackhat μπορεί να φέρει την καταστροφή,” αναφέρει ο Dan Melamed. “Ένας hacker παραδείγματος χάρη θα μπορούσε να στήσει ένα bot και να ανακτήσει όλες τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και να τις προωθήσει για spam ή για άλλους κακόβουλους σκοπούς.”
Ο ερευνητής ασφαλείας έδωσε μια απλή λύση για το exploit του Pinterest. Αν η ιστοσελίδα καταφέρει να πραγματοποιεί τον έλεγχος στο access token του ιδιοκτήτη, το πρόβλημα θα σταματήσει να υπάρχει. Ο Melamed δημοσίευσε επίσης ένα βίντεο για να αποδείξει την ευπάθεια στο Pinterest.
Η ομάδα ασφάλειας της ιστοσελίδας δήλωσε ότι η ευπάθεια έχει ήδη διορθωθεί και πρόσθεσε τον εμπειρογνώμονα ασφάλειας στo Heroes List του site μαζί με δύο άλλους ερευνητές.
