또 다른 날, 또 다른 시작 보안 결함.
시작이 영향이 시간은 Zaarly , 사람들이이 근처에와 아무것도 구매 또는 판매 수있는 서비스입니다.
최근 코드 푸시에 버그가 전화 번호와 구매자와 판매자 사이의 개인 메시지를 발표하는 보안 구멍을 만들었습니다.
버그를 악용하기 위해, 당신은 볼 원하는 영역에 대한 위도와 긴 좌표를 지정 Zaarly의 listings.JSON 파일에 액세스만을 필요 했어. 사이트 관련 설명과 함께 (등등 "사용 아이폰 4", "사브 엔진 스왑을 수행하는 기계"와)의 목록 평소처럼 튀어 나왔습니다.
하지만 그 목록은 사용자 ID, 전화 번호 및 비공개 메시지와 같은 개인 변수를 포함합니다. 적극적으로 버그를 악용하려고 누군가가 추가 위도 / 경도 좌표에 플러그 및 지역에 대한 모든 Zaarly 목록을 볼 수 있습니다.
Zaarly CEO 보 피쉬백는 결함이 일주일 동안 생활했고 회사는 버그의 존재에 경고 후 십오분 이내에 수정된 것을 말합니다. 그는 또한 버그가 일부 사용자 데이터를 노출하는 동안, 그것이 거래에 관한 누출 아무것도 아니라고 강조하고 - 그래서 신용 카드 번호와 거래 정보는 안전합니다. 그리고 그것이 누구나 실수 버그에 걸쳐 발견했을 것이 매우 가능성 있다고 믿습니다.
오늘 저녁의 고장은 시작에 대한 심각한 영향을 가지고 있을까요? 가능성. 서비스를 통해 교환되는 메시지의 대부분은 아마 전화 번호 누수가 발생하면 확실히 자극 (및 용납할 수) 동안, 그리고 그것에 비해 민감한 비한다하지 않는 것이 아르 신용 카드 와 온라인 저장 표준을지고 있습니다 위반. 그것은 슬픈 일이지만, 우리가 이런 일을 정렬하는 데 사용되는가 있어요 거의 같은거야.
업데이트 : Zaarly이 문제에 대한 블로그 게시물을 작성했습니다 여기에 .
업데이트 2 : 피쉬백 그가 원래 오해와 손상이 게시물은 원래 명시된 바와 같이 꽤 것만큼 그렇게 나쁘진 않을 것을 였다고 이메일 주소가 노출되지 않은 사용자의 ID 번호가있을 때, 이름이 (즉되지 않은, 당신이 볼 수있을 숫자의 문자열은) 누군가의 이름을 반대했다. 그러나, 전화 번호와 직접 메시지를 사용할 수 있었다.
공개 : 테크 크 런치 설립자 마이클 애링턴가있다 투자자 Zaarly 인치 당신은 그의 투자 정책에 대한 읽을 수 있습니다 여기 .
댓글 없음:
댓글 쓰기