Oblíbená tuzemská online platforma Herohero měla chyby ohrožující data a peníze všech uživatel. Upozornil na ně etický bloger Marek Tóth. Nyní už by měl být bezpečnostní problém fixován.
Oblíbená tuzemská online platforma Herohero měla chyby ohrožující data a peníze všech uživatel. Upozornil na ně etický bloger Marek Tóth. Nyní už by měl být bezpečnostní problém fixován.
Citováno z blogu etického hackera Marka Tótha:
V tomto blog postu popíšu dvě závažné bezpečnostní chyby nalezené na platformě Herohero, které umožňovaly kompletní přístup k cizímu účtu.
U jedné z chyb šlo používat zcela libovolný účet, stačilo jen znát adresu profilu. Žádná interakce od uživatele (např. zadávání údajů) nebyla nutná.
S účtem šlo poté dělat skoro cokoliv — upravovat/mazat/přidávat příspěvky, číst a psát soukromé zprávy, vytvářet odkazy pro bezplatné doživotní předplatné nebo třeba měnit cenu předplatného. Kromě běžných funkcích bylo možné také používat platební kartu uživatele. To vše bez jeho vědomí, a to i včetně nastavené 3D Secure ochrany.
Celý tento text je i zpracován formou videa:
Zdroj: blog Marek Tóth
KOMENTÁŘE