180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему

Нашел в российском дейтинг-боте с якобы 180k MAU несколько high-уязвимостей: IDOR, отсутствие rate limiting, обход токенов и публичный доступ к медиа.

Это позволило легко получить доступ к ~12k профилям и ~24k файлам, при этом 43% анкет принадлежат несовершеннолетним. Также удалось обойти ограничения, которые связаны с премиум-подпиской.

История про то, как багхантинг перерастает в расследование о халатности в обращении с персональными данными юзеров. Результат – весьма неожиданный.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Больше контекста — хуже результат
• Финансы, ecommerce и недвижимость лидируют по инвестициям в ссылочное продвижение
• Скрытые каналы – противодействие утечке информации по сетевым скрытым каналам (часть 3)
• OKKAM: Дайджест е-com: самые важные обновления для работы на маркетплейсах в апреле
• Spark_news: В Госдуме предложили ввести особый правовой режим для ИП
• Qlever Solutions: Метрики SCOR: Responsiveness. Как посчитать OFCT, OPT, DLT и другие метрики скорости реакции?
• Как мы поймали drift в Kubernetes и зачем после этого перешли на GitOps
• (Не) безопасный дайджест: утечка у Booking.com, McKinsey против ИИ-агента и миллион «не туда»
• Порох для мозга: Как нейросети убивают элиту и открывают эпоху дилетантов
• [Перевод] Поведение как новый критерий идентификации пользователя. Кибербезопасность в эпоху ИИ