PuffPal, приложение для доступ... Заметка
RSS Daring Fireball by John Gruber

PuffPal, приложение для доступа к клубам каннабиса, раскрыло паспорта 1 миллиона пользователей

Сэмми Аздуфал обнаружил, что конфиденциальные данные, принадлежащие посетителям клуба каннабиса, включая личные детали и привычки потребления, хранились без надлежащей безопасности. Эти данные были доступны через испанское приложение под названием PuffPal, которое не имело существенных мер безопасности. Аздуфал нашел секретный ключ платформы оплаты в открытом тексте и мог получить доступ к профилю любого участника, изменив одну цифру. Что самое главное, документы, удостоверяющие личность, такие как паспорта и водительские права, хранились по публичным URL-адресам, которые легко можно было обнаружить. Тысячи новых идентификаторов загружались ежедневно через эти не защищенные ссылки. Брюс Шнайер подчеркивает, что использование высокоценных учетных данных, таких как паспорта, для систем аутентификации с низкой ценностью, таких как проверка идентификатора клуба каннабиса, представляет значительные риски. Этот инцидент служит предупреждением для предложенного законодательства, требующего проверки возраста для онлайн-активностей, предполагая, что подобные утечки идентификаторов являются неизбежным последствием. Раскрытая уязвимость показывает, насколько важна безопасность даже для, казалось бы, незначительных онлайн-систем.