מתקפות סייבר
פירצה בפינטרסט נחשפה על ידי דן מלמד
חוקר אבטחת המידע דן מלמד חשף פירצה בפינטרסט אשר עלולה לחשוף את כתובת הדואר האקלטרוני של כל אחד ממיליוני הרשומים באתר.
הפירצה מתבססת על כתובת המציגה פרטי משתמש לפי הטוקן שלו. אך שינוי בכתובת, תוך החלפת המילה ME בכתובת עם שם משתמש תחשוף את הפרטי של אותו המשתמש, כולל כתובת הדואר האלקטרוני שלו.
כך נראים הפרטים עם המילה ME בכתובת: https://api.pinterest.com/v3/users/me/?access_token=MTQzMTYwMjozNTcxOTE5NTE2MDQyNjcxNzc6MnwxMzc3MDY4ODMyOjAtLTE2ZWJjNDg4NzYxYTFmZWIwZmU0ODcxYzc3ZWUyN2E2YTdhOWNlN2I=
וכך היא נראית אחרי השינוי: https://api.pinterest.com/v3/users/pinterest/?access_token=MTQzMTYwMjozNTcxOTE5NTE2MDQyNjcxNzc6MnwxMzc3MDY4ODMyOjAtLTE2ZWJjNDg4NzYxYTFmZWIwZmU0ODcxYzc3ZWUyN2E2YTdhOWNlN2I=
דן מלמד מפרט בבלוג שלו כי הפתרון לבעיה הוא לבצע אימות של בעל הטוקן אל מול נתוני המשתמש המבוקש.
"כשפינטרסט עוברת את 70 מיליון המשתמשים ובהינתן כמות האנשים בעלי הפרופיל הגבוה והמותגים שעושים שימוש באתר, פירצה כזאת משמעותה אסון אם היא נופלת לידי האקר שחור. האקר היה יכול להפעיל בוט שישלוף את כל כתובות הדואר האלקטרוני של המשתמשים לצרכי ספאם או מטרה זדונית אחרת", כתב מלמד.
צוות האבטחה של פינטרסט אישר כי הפרצה תוקנה, ודן מלמד צורף לרשימת ה"גיבורים" של פינטרסט.
"ברצוני לציין כי חשפתי פירצה דומה באתר StumbleUpon. שם יכלתי לצפות בשם מלא, כתובת דואר אלקטרוני, גיל, מין ומיקום של כל משתמש. לרוע המזל, הם לא נתנו לי אישור לחשוף את הפירצה, אפילו אחרי שהם תיקנו אותה…. אני שמח שפינטרס פתוחים בהרבה לדיון בנושאי אבטחת מידע".
