Хакеры воруют деньги у писателей на площадке Medium

Дата: 30.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Популярная во многих странах мира платформа для создания и обмена контентом Medium имеет серьезной недостаток безопасности – ИБ-специалист обнаружил критическую уязвимость в программе Medium Partner Program, с помощью которой киберпреступники воровали деньги писателей.

Партнерская программа компании Medium позволяет писателям зарабатывать деньги на своих статьях. Программное обеспечение учитывает время, которое подписчики сервиса тратят на прочтение статей, после чего начисляет авторам определенное вознаграждение.

ИБ-специалист Моххамад Али Бандзар нашел критическую уязвимость в программе Medium Partner Program, с помощью которой злоумышленники могут просто «выкачать» деньги со счетов писателей. Эксперт отмечает, что конечная точка программы не выполняет проверку идентификатора пользователя для действительного сеанса входа в систему, поэтому она примет любое значение cookie пользовательского идентификатора, которое ей будет передано.

При этом киберпреступники могут с легкостью найти пользовательский идентификатор, просмотрев профили на сайте. Моххамад Али Бандзар в своем блоге написал: «Невероятно легко узнать идентификаторы пользователей. Все, что нужно сделать – это перейти к их профилю и выполнить поиск «{\” id \ “:» в HTML-коде веб-страницы, чтобы узнать идентификатор пользователя, и вы увидите, что Netflix Tech BlogUserID: «c3aeaf49d8a4».

Киберпреступники могут изменить cookie UID на подписчика, загрузить свою статью, чтобы заработать деньги. Программа Medium Partner Program не выполняет проверку UID для активного сеанса. В частности, Моххамад Али Бандзар провел эксперимент и в результате эксплуатации уязвимости смог заработать 34 цента.

После предоставленного отчета компания Medium исправила найденную уязвимость, но Моххамад Али Бандзар отметил, что еще не проверял исправление. Также ИБ-специалисту было направлено 250 долларов в качестве вознаграждения за найденную ошибку, которая «позволяла искусственно манипулировать рейтингом и рекомендациями системы».

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *