Вона дозволяє хакерам взяти під контроль акаунти користувачів.
Трой Гант, консультант з кібербезпеки і творець Have I Been Pwned (сайту, де можна перевірити, чи не скомпрометовані ваші дані), повідомив про вразливість в API Spoutible – програмному інтерфейсі соціальної мережі, створеної як альтернатива Twitter. Ця вразливість може дозволити хакерам повністю контролювати облікові записи користувачів та отримувати їхні імена, адреси електронної пошти, IP-адреси та номери телефонів. Spoutible заявила, що виправила вразливість, щойно дізналася про неї, підтвердила витік «адрес електронної пошти та деяких номерів мобільних телефонів» і порадила своїм користувачам змінити паролі та скинути двофакторну автентифікацію. Але це ще не кінець історії.
Подальше розслідування показало, що зловмисники могли використовувати експлойт для отримання хешованої версії паролів користувачів, хоча й захищених, але переважно коротких і слабких – такі легко можна розшифрувати, а встановлення довших паролів сервіс Spoutible блокував. І насамкінець Гант виявив, що API повертає код двофакторної автентифікації, який використовують для входу в акаунт, а також маркери скидання, згенеровані, щоб користувач міг змінити забутий пароль. За словами пана Ганта, через цю лазівку витекло електронне листування майже 207 000 користувачів – заледве не всіх, хто є у цій соцмережі (станом на червень 2023 року Spoutible мала аудиторію у 240 000 осіб). Тож, якщо у вас є обліковий запис на цій платформі, перевірте тут, чи ваші дані в безпеці.
