Sicherheitslücke in FindFace ermöglicht das Abrufen der Benutzer-ID ohne Bezahlung

Der FindFace- Dienst ist allen bekannt , um einen Kontaktbenutzer anhand eines Fotos zu suchen.

Kürzlich wurde eine Bedingung in das System eingeführt, unter der ein Link zu einem Profil nur durch Zahlung von Geld erhalten werden konnte.
Unter dem Kürzel gibt es einen kleinen Hack, um diese Einschränkung zu beseitigen, und ein wenig darüber, warum die Daten in Ihrer Anwendung verschlüsselt werden sollten.

In der Tat ist alles ziemlich trivial. Wenn Sie versuchen, die Seite einer hübschen Frau aufzurufen, die Sie gefunden haben, wird höchstwahrscheinlich eine Meldung angezeigt, dass das Profil Ihres Geliebten verfügbar ist, nachdem eine bestimmte Anzahl von Schekeln gezahlt wurde.

Bild

Aber beeilen Sie sich nicht, sich aufzuregen. Schließlich verschlüsselt Find Face die Daten in keiner Weise. Daher finden Sie die ID mit hoher Wahrscheinlichkeit über ng-inspector (eine Erweiterung für den Browser, mit der Sie Daten aus einer in angleJS geschriebenen Anwendung anzeigen können).

Bild

Mit einfachem Strg + Strg + V erhalten wir das unglückliche Profil und genießen auch die gespeicherten Schekel in Ihrer Tasche.

Den Entwicklern wurde eine Schwachstellenbenachrichtigung gesendet, daher glaube ich nicht, dass irgendjemand darunter leiden wird. Dies zieht den Skandal auch nicht besonders an, nur eine weitere kleine Erinnerung an andere Entwickler, dass das Verstecken und Verschlüsseln von Daten helfen wird, große Probleme in Zukunft zu vermeiden.

Jetzt auch beliebt: