Уже всем достаточно хорошо известен сервис FindFace для поиска пользователя контактика по фотографии.
С недавнего времени в системе было введено условие, при котором получить ссылку на профиль можно было только заплатив денежку.
Под катом небольшой хак для снятия этого ограничения и немного о том, почему данные внутри своего приложения стоит шифровать.
В самом деле, все достаточно тривиально. При попытке перейти на страницу симпатичной женщины, которую вы нашли, скорее всего вылезет сообщение о том, что профиль вашей возлюбленной будет доступен после взноса некоего количества шекелей.
Но не спешите огорчаться. Ведь Find Face никак не шифрует данные, так что с большой вероятностью вы найдете ее id через ng-inspector (расширение для браузера, позволяющее смотреть данные приложения, написанного на angularJS).
Простым ctrl+c ctrl+v получаем злополучный профиль, а также радуемся сохраненным шекелям в кармане.
Разработчикам было отправлено уведомление о наличии уязвимости, так что не думаю, что кто-то от этого сильно пострадает. На скандал это тоже особо не тянет, просто очередное небольшое напоминание остальным разработчикам, что сокрытие и шифрование данных поможет в будущем избежать больших проблем.
С недавнего времени в системе было введено условие, при котором получить ссылку на профиль можно было только заплатив денежку.
Под катом небольшой хак для снятия этого ограничения и немного о том, почему данные внутри своего приложения стоит шифровать.
В самом деле, все достаточно тривиально. При попытке перейти на страницу симпатичной женщины, которую вы нашли, скорее всего вылезет сообщение о том, что профиль вашей возлюбленной будет доступен после взноса некоего количества шекелей.
Но не спешите огорчаться. Ведь Find Face никак не шифрует данные, так что с большой вероятностью вы найдете ее id через ng-inspector (расширение для браузера, позволяющее смотреть данные приложения, написанного на angularJS).
Простым ctrl+c ctrl+v получаем злополучный профиль, а также радуемся сохраненным шекелям в кармане.
Разработчикам было отправлено уведомление о наличии уязвимости, так что не думаю, что кто-то от этого сильно пострадает. На скандал это тоже особо не тянет, просто очередное небольшое напоминание остальным разработчикам, что сокрытие и шифрование данных поможет в будущем избежать больших проблем.
Поделиться с друзьями
Комментарии (6)
alexxxst
09.06.2016 14:49+4Ну, и нафига спалили, кому нужно пользовался… тем более не уязвимость, а фича.
ya-est
09.06.2016 15:00+1При попытке перейти на страницу симпатичной женщины, которую вы нашли, скорее всего вылезет сообщение о том, что профиль вашей возлюбленной будет доступен после взноса некоего количества шекелей
Скандал: Джек-Потрошитель оказался евреем.
Что я только что прочитал?!
elkyzmich
14.06.2016 10:53Сервис настолько классный, что даже жалко, что такую уязвимость выставили на всеобщее обозрение. Более того, ее теперь явно прикроют.
Anisotropic
>На скандал это тоже особо не тянет
Да и на статью тоже не тянет. Максимум на твит.
Disen
Вы расстроитесь еще больше, однако за эту статью еще и инвайт дали :)
З.Ы. Жаль прикроют скоро лавочку.