Bu uygulamayı kullanan 207 bin kullanıcının e-postası ifşa oldu!

Güvenlik danışmanı ve Have I Been Pwned’in yaratıcısı Troy Hunt, Elon Musk’ın Twitter’ı devralmasının ardından ortaya çıkan sosyal platform Spoutible’ın API’sinde ciddi bir güvenlik açığı olduğunu açıkladı. Hunt, bilgisayar korsanlarının Spoutible’ın API’sini kullanarak bir kullanıcının adını, kullanıcı adını, biyografisini, e-postasını, IP adresini ve telefon numarasını öğrenebileceğini keşfetti.

CİDDİ GÜVENLİK AÇIĞI VAR

Troy Hunt, Elon Musk’ın Twitter’ı devralmasının ardından ortaya çıkan sosyal platform Spoutible’ın API’sinde ciddi bir güvenlik açığı olduğunu açıkladı. Spoutib, şifrelerin veya doğrudan mesajların sızdırılmadığını iddia etse de, toplanan bilgilerin e-posta adreslerini ve bazı cep telefonu numaralarını içerdiğini kabul etti. Hem Spoutible hem de Hunt, kullanıcıların şifrelerini değiştirmelerini ve iki faktörlü kimlik doğrulamayı sıfırlamalarını tavsiye ediyor.

Hunt, bu tür veri kazıma olaylarının Facebook ve Trello gibi platformlarda da görüldüğünü belirtiyor ve bu durumun alışılmadık olmadığını vurguluyor. Ancak daha endişe verici olanı, kötü niyetli kişilerin kullanıcıların şifrelerinin hash edilmiş bir versiyonunu da edinebilmesi. Şifreler bcrypt ile korunsa da kısa veya zayıf şifrelerin deşifre edilmesi kolay olabilir.

Hunt ayrıca, API’nin bir kullanıcının hesabına oturum açmak için kullanılan iki faktörlü kimlik doğrulama kodunun yanı sıra bir kullanıcının unutulan bir parolayı değiştirmesi için oluşturulan sıfırlama token’larını da ortaya çıkardığını belirtti. Bu durum, bilgisayar korsanlarının bir kullanıcının hesabına kolayca erişmesine ve kullanıcının haberdar edilmeden hesabını ele geçirmesine olanak tanıyor.

Hunt’a göre, açık yaklaşık 207.000 kullanıcının e-postasını ifşa etti. Wired’ın bir raporunda, Spoutible’ın 240.000 kullanıcısı olduğu belirtildiğinden, bu neredeyse tüm platformdaki herkesi etkiliyor.