Alternativa Twitter Spoutible scoate o scurgere masivă

Consultantul de securitate și creatorul Have I Been Pwned, Troy Hunt, a detaliat o vulnerabilitate în API-ul Spoutible, o platformă socială apărută în urma preluării Twitter de către Elon Musk, care ar putea permite hackerilor să preia controlul deplin asupra conturilor utilizatorilor.

După ce cineva l-a alertat pe Hunt cu privire la vulnerabilitate, a descoperit că hackerii ar putea exploata API-ul Spoutible pentru a obține numele, numele de utilizator și biografia unui utilizator, împreună cu e-mailul, adresa IP și numărul de telefon al acestuia. Spoutible a abordat de atunci vulnerabilitatea, scriind într-o postare pe site-ul său că nu a scurs parole decriptate sau mesaje directe, confirmând în același timp „informațiile răzuite includ adrese de e-mail și câteva numere de telefon mobil”. A invitat pe oricine care încă mai dorește să folosească serviciul înapoi pentru o „sesiune specială Pod” la 1 PM ET. Atât Spoutible, cât și Hunt recomandă utilizatorilor să-și schimbe parolele și să resetați 2FA.

După cum a menționat Hunt, acest lucru nu este cu totul neobișnuit, așa cum se vede în incidente similare de răzuire a datelor pe platforme precum Facebook și Trello.

Cu toate acestea, Hunt a descoperit ceva mult mai alarmant: actorii răi ar putea folosi și exploit-ul pentru a obține o versiune hashing a parolelor utilizatorilor. Deși erau protejate cu bcrypt, parolele scurte sau slabe puteau fi destul de ușor de descifrat, iar serviciul a blocat oamenii să stabilească parole mai lungi, care ar fi mai greu de spart.

Și, în plus, Hunt a descoperit că API-ul a returnat codul 2FA folosit pentru a vă conecta la contul cuiva, precum și jetoanele de resetare generate pentru a ajuta un utilizator să schimbe o parolă uitată. Acest lucru ar putea permite hackerilor să obțină cu ușurință acces la contul cuiva și să îl deturneze fără a-i alerta cu privire la încălcare.

Potrivit lui Hunt, exploit-ul a expus e-mailurile a aproximativ 207.000 de utilizatori. Este aproape toată lumea de pe întreaga platformă, așa cum un raport din iunie 2023 de la Cablat a indicat că Spoutible a avut 240.000 de utilizatori.

Citeste si articolele de mai jos

Lasa un comentariu