Szach-mat w cyberbezpieczeństwie: Jak admin serwisu chess.com stał się celem

Szach-mat w cyberbezpieczeństwie: Jak admin serwisu chess.com stał się celem

2021-02-12 22:44 Redakcja

Sam Curry, znany badacz bezpieczeństwa, odkrył poważną podatność w serwisie chess.com, która mogła doprowadzić do przejęcia konta administratora. W trakcie swojego śledztwa, Curry postanowił wyszukać użytkownika w aplikacji mobilnej, co ujawniło niepokojące informacje.

W odpowiedzi na zapytanie, badacz uzyskał e-maila dowolnego użytkownika, co wydawało się niegroźne, ale w rzeczywistości ujawniło jeszcze większy problem – session_id. To kluczowa wartość PHPSESSID, która identyfikuje sesję zalogowanego użytkownika, w tym admina.

Oznacza to, że Curry mógłby uzyskać dostęp do konta admina, co stanowi poważne zagrożenie dla bezpieczeństwa serwisu. Na szczęście, problem został szybko zgłoszony w ramach programu bug bounty i usunięty w ciągu dwóch godzin.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.