Si ma lui lo ha trovato per caso, l’ha segnalato subito e si è beccato una denuncia
not to brag, but also yes why not
confermati altri due report per $13K
Trovato una IDOR (Insecure Direct Object Reference) che mi permette di vedere informazioni di altri utent, and una BFLA (Broken Function Level Authorization) che mi permette di fare privilege escalation e eseguire alcune funzioni come ruolo piu’ alto.
All’inizio sembrava non possibile fare exploit di queste perche’ l’app usa UUIDs invece di normali ID che possono essere indovinati facilmente, ma poi ho trovato che la funzione di invite fa leak degli UUIDs delle persone che invito, quindi problema risolto.
Questa non e’ una bella notizia :(
Cristo santo tu non sai che fatica faccio a convincere “architetti” a spendere un attimo di tempo in più per esporre uuid e non id incrementali o peggio ancora codici facili da desumere (tipo vin per i veicoli). La gente ha la sabbia in testa certe volte. Fai bene a guadagnarli facili sti soldi ma li investissero in sviluppatori e sopratutto architetti meno incapaci dio de dio
laughs in Linux
quindi niente acher cinesi bensì una patch che speccia e va in bsod aoe? nice
enjoy your friday nerds
Bene, anzi no, visto che l’azienda si sta prostrando con tutti i servizi solo su Azure, perchè “è più sicuro e ridondante”
Se il servizio è down, non è accessibile nemmeno a malintenzionati. Crowdstrike sta facendo forward thinking.
Ero venuto per postarla. Ma che coglionazzi…
Fortunatamente il Santech di Montex è salvo
È altamente probabile che ci siete dentro
“They claimed it contained 2,900,000,000 records on United States citizens”
tutt’apposto dotto’!
Penso che la popolazione degli US sia leggermente inferiore a quel numero
Puo’ essere.
Ma 2,900,000,000 sono i " records" , non i records su 2,900,000,000 di cittadini
Ti ripeto, che non riguarda solo la popolazione US, lo spiega bene anche qua: Troy Hunt: Inside the "3 Billion People" National Public Data Breach
Comunque se ti fa sentire al sicuro continua a pensarlo, io, aimè, pur vivendo qui in Italia ci son rimasto sotto
Ma l’immagine di mr. Bean non basta per far capire il mio pensiero?
E poi ho tradotto l’inglese, nient’altro ed il totale segnalato da haveibeenpwned e’ di 133k, non 2 miliardi e spazza
Io cmq ho 1 email che compare in 13 data breach e questo non c’e’ che culo
Idem, io sono in 12 ma qui nulla.
Kaldais, hai mai mandato CV ad aziende USA?