Сервис уже всем хорошо известен Найти лицо для поиска контакта пользователя по фотографии.
Недавно в систему было введено условие, при котором ссылку на профиль можно было получить, только заплатив деньги.
Ниже приведен небольшой хак, позволяющий снять это ограничение и немного о том, почему данные внутри вашего приложения должны быть зашифрованы.
На самом деле все довольно тривиально.
При попытке зайти на страницу найденной вами симпатичной женщины, вы, скорее всего, получите сообщение о том, что профиль вашего возлюбленного станет доступен после пожертвования определенной суммы шекелей.
Но не спешите расстраиваться.
Ведь Find Face никак не шифрует данные, поэтому с большой вероятностью вы найдете его id через ng-inspector (расширение для браузера, позволяющее просматривать данные из приложения, написанного на AngularJS).
Простым сочетанием ctrl+c ctrl+v получаем злосчастный профиль, а также наслаждаемся сэкономленными шекелями в кармане.
Разработчиков уведомили об уязвимости, так что не думаю, что кто-то от этого сильно пострадает. На скандал это тоже не похоже, просто очередное небольшое напоминание другим разработчикам о том, что сокрытие и шифрование данных поможет избежать больших проблем в будущем.
Теги: #angularjs #информационная безопасность #информационная безопасность #angular #Расширения браузера
-
Jsoc: Опыт Молодого Российского Mssp
19 Oct, 24 -
Поймай Меня, Если Сможешь. Рождение Короля
19 Oct, 24 -
Тонкости Scala: Изучаем Canbuildfrom
19 Oct, 24 -
Как Не Писать На Хабре: Антирейтинг 2017
19 Oct, 24
