Разработчик плагина Wedo.Bet Владимир Радаев в своём сообществе о том, как в очередной раз проверяет безопасность продуктов своих конкурентов. В комментариях к записи были вопросы о том, какие выводы можно сделать из этого поста. Очевидно, Владимир намекает на то, что если есть проблемы проблемы с безопасностью, то они могут влиять и на анонимность аккаунтов пользователей. Ниже приведены отрывки поста:
После такого заголовка Вы наверное ожидаете прочитать статью про взлом, системы безопасности, методов их обхода и что-то в таком духе, но это же TheForks, с ним всё проще.
В соседнем чате телеги началось обсуждение, есть ли в TheForks баги или нет. А я не могу терпеть, когда говорят, что их там нет или их быстро исправляют. И чтобы успокоить свой юношеский максимализм и самоутвердиться — я скачал форкс, посмотрел на их убогий дизайн интерфейсов и нашел еще одну уязвимость.
Для этого мне достаточно было посмотреть на все запросы, которые отсылает их сканер. И я там нашел запрос к positivebet:
В надежде найти что-то интересное, я посмотрел на данные запроса и увидел логин и пароль к позитиву:
Недолго думая, я открыл позитив и попробовал войти с этим аккаунтом:
Отлично, доступ к одному аккаунту получен. Привлекли внимание еще последние цифры в логине и пароле, я попробовал логин theforks1909 и Vilki1909 и снова получил доступ к позитиву:
Все аккаунты зарегистрированы на почту, которая привязана к домену theforks.ru
На одном из аккаунтов я поменял пароль и форкс не смог больше по нему авторизоваться, транслировал всё в чат. Перебором последних цифр нашел доступ к аккаунтам, где была оплата подписки:
Но это ладно, нам то нужен аккаунт с активной подпиской, не так ли? Попробовал еще несколько и нашел:
Скинул доступы в чат и некоторые проверили доступность, Топский даже возобновил подписку:
После этого я попробовал войти с этим аккаунтом в TheForks — и подписка была активна. Но пароль уже кто-то сменил.
Как всегда на поиск уязвимости у меня ушло 5 минут и я получил аккаунты позитива, которые зарегистрированы на почту theforks, сменил пароль и сломал авторизацию в сканере.
Всем добра!
