Получи случайную криптовалюту за регистрацию!

Альтернатива Twitter вылилась в масштабную утечку API Spoutib | Tigran Ohanian

Альтернатива Twitter вылилась в масштабную утечку

API Spoutible раскрыл пароли, информацию 2FA и токены, которые могли позволить злоумышленникам завладеть аккаунтом любого пользователя

Консультант по безопасности и создатель Have I Been Pwned Трой Хант подробно описал уязвимость в API Spoutible, социальной платформы, появившейся после поглощения Twitter Илоном Маском, которая может позволить хакерам получить полный контроль над аккаунтами пользователей.

После того как кто-то предупредил Ханта об уязвимости, он обнаружил, что хакеры могут использовать API Spoutible для получения имени, фамилии и биографии пользователя, а также его электронной почты, IP-адреса и номера телефона. С тех пор компания Spoutible устранила уязвимость, написав в сообщении на своем сайте, что утечки расшифрованных паролей или прямых сообщений не было, и подтвердив, что "вырезанная информация включала адреса электронной почты и некоторые номера мобильных телефонов".

Как отмечает Хант, это не совсем редкое явление, как это было замечено в аналогичных инцидентах со взломом данных на таких платформах, как Facebook* и Trello.

Однако Хант обнаружил нечто гораздо более тревожное: злоумышленники могли использовать эксплойт для получения хэшированной версии паролей пользователей. Хотя они были защищены с помощью bcrypt, короткие или слабые пароли можно было довольно легко расшифровать, и сервис блокировал возможность установки более длинных паролей, которые было бы сложнее взломать.

И в довершение всего Хант обнаружил, что API возвращает код 2FA, используемый для входа в аккаунт, а также маркеры сброса, генерируемые для смены забытого пароля. Это могло позволить хакерам легко получить доступ и захватить чей-то аккаунт, не предупредив пользователя о взломе.

По словам Ханта, эксплойт раскрыл электронную почту около 207 000 пользователей. Это почти все пользователи платформы, так как в отчете Wired за июнь 2023 года говорилось, что у Spoutible 240 000 пользователей.

Вы можете проверить, была ли раскрыта ваша информация, на платформе Have I Been Pwned.
Следующее сообщение
telegram-store.com © 2016-2024
Неофициальный сайт про Telegram
Все права защищены. Копирование и использование полных материалов запрещено, частичное цитирование возможно только при условии гиперссылки на сайт telegram-store.com.