Güvenlik danışmanı ve Have I Been Pwned’in yaratıcısı Troy Hunt, Elon Musk’un Twitter’ı devralmasının ardından ortaya çıkan bir sosyal platform olan Spoutible’ın API’sinde, bilgisayar korsanlarının kullanıcı hesaplarının tam kontrolünü ele geçirmesine izin verebilecek bir güvenlik açığının ayrıntılarını açıkladı.
Birisi Hunt’ı güvenlik açığı konusunda uyardıktan sonra, bilgisayar korsanlarının istismar edebileceğini keşfetti Bir kullanıcının adını, kullanıcı adını ve biyografisinin yanı sıra e-posta, IP adresi ve telefon numarasının elde edilmesini sağlayan Spoutible API’si. Spoutible o zamandan beri güvenlik açığını giderdi. sitesinde bir yazı yazıyor şifresi çözülmüş şifreleri veya doğrudan mesajları sızdırmadığını ve “alınan bilgilerin e-posta adreslerini ve bazı cep telefonu numaralarını içerdiğini” doğruladı. Hizmeti hâlâ kullanmak isteyen herkesi saat 13:00 ET’de “özel bir Pod oturumu” için davet etti. Hem Spoutible hem de Hunt, kullanıcıların şifrelerini değiştirmelerini ve 2FA’yı sıfırlamalarını öneriyor.
Hunt’ın da belirttiği gibi, Facebook ve benzeri platformlardaki benzer veri kazıma olaylarında da görüldüğü gibi bu tamamen alışılmadık bir durum değil. Trello.
Ancak Hunt çok daha endişe verici bir şey keşfetti: Kötü aktörler bu açıktan yararlanarak kullanıcıların şifrelerinin karma versiyonunu elde edebilirler. Her ne kadar bcrypt ile korunuyor olsalar da, kısa veya zayıf şifrelerin deşifre edilmesi oldukça kolay olabiliyordu ve hizmet, insanların kırılması daha zor olan daha uzun şifreler belirlemesini engelliyordu.
Hepsinden önemlisi Hunt, API’nin, birinin hesabında oturum açmak için kullanılan 2FA kodunun yanı sıra, kullanıcının unutulan bir parolayı değiştirmesine yardımcı olmak için oluşturulan sıfırlama belirteçlerini de döndürdüğünü buldu. Bu, bilgisayar korsanlarının ihlal konusunda uyarmadan birinin hesabına kolayca erişmesine ve onu ele geçirmesine olanak tanıyabilir.
Hunt’a göre bu istismar yaklaşık 207.000 kullanıcının e-postalarını açığa çıkardı. Bu neredeyse tüm platformdaki herkes Haziran 2023 tarihli bir rapor kablolu Spoutible’ın 240.000 kullanıcısı olduğu belirtildi.
