JavaScript文件惹禍:卡戴珊新網站不慎泄露了用戶名和電子郵件
英文原文:The Kardashians' new websites leaked user names and emails 與 The Insecurities of the Kardashians: Kim isn’t as Popular as Kylie
金·卡戴珊(Kim Kardashian)最新推出的一波應用早已霸占了應用商店前排的位置,但它們的代碼支持卻不見得有人們所想的那么堅實。昨天,一位名叫 Alaxic Smith 的開發者在探索為這些新應用提供支撐的網站時,偶然發現了一個開放的 JavaScript 文件,其可怕之處在于可以讓人直接調用網站的 API、甚至直接將所有 app 的用戶名和訂閱郵件地址庫都拖下來——總數竟然達到了 90 萬條!
Smith 指出,他還可以修改數據,銷毀用戶賬號、照片或其它內容。下面是他拿到手的統計信息:
User Stats (as of 09/15/2015 2:27 AM PST)
Kylie Jenner (thekyliejenner.com): 663,270 Users
Kim Kardashian (kimkardashianwest.com): 80,679 Users
Kendall Jenner (kendallj.com): 50,756 Users
Khloe Kardashian (khloewithak.com): 96,635 Users
Total Users: 891,340
</blockquote>這種對待 API 的方式,是一個相當常見的安全隱患。萬幸的是,本次泄露并不涉及支付數據,但是大家還是要提防別有用心的人所發來的欺詐郵件、釣魚攻擊、甚至身份盜竊。
根據 Whalerrock 的一份聲明,Smith 是唯一一個通過此法訪問到這部分數據的人,該公司已經用相當快的速度填補上了漏洞。
為了防止更大范圍的泄露,Smith 發布的帖子很快就被撤下了。但是對于開發者來說,安全這件事,還是得時刻放在心上的。
</div>來自: cnBeta本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!