Разработчик WedoBet проверил “на прочность” TheForks

Betsai

Новый сервис на замену wedobet

Разработчик плагина Wedo.Bet  Владимир Радаев в своём сообществе о том, как в очередной раз проверяет безопасность продуктов своих конкурентов. В комментариях к записи были вопросы о том, какие выводы можно сделать из этого поста. Очевидно, Владимир намекает на то, что если есть проблемы проблемы с безопасностью, то они могут влиять и на анонимность аккаунтов пользователей. Ниже приведены отрывки поста:


 

После такого заголовка Вы наверное ожидаете прочитать статью про взлом, системы безопасности, методов их обхода и что-то в таком духе, но это же TheForks, с ним всё проще.

В соседнем чате телеги началось обсуждение, есть ли в TheForks баги или нет. А я не могу терпеть, когда говорят, что их там нет или их быстро исправляют. И чтобы успокоить свой юношеский максимализм и самоутвердиться — я скачал форкс, посмотрел на их убогий дизайн интерфейсов и нашел еще одну уязвимость.

Для этого мне достаточно было посмотреть на все запросы, которые отсылает их сканер. И я там нашел запрос к positivebet:

В надежде найти что-то интересное, я посмотрел на данные запроса и увидел логин и пароль к позитиву:

Недолго думая, я открыл позитив и попробовал войти с этим аккаунтом:

Отлично, доступ к одному аккаунту получен. Привлекли внимание еще последние цифры в логине и пароле, я попробовал логин theforks1909 и Vilki1909 и снова получил доступ к позитиву:

Все аккаунты зарегистрированы на почту, которая привязана к домену theforks.ru

На одном из аккаунтов я поменял пароль и форкс не смог больше по нему авторизоваться, транслировал всё в чат. Перебором последних цифр нашел доступ к аккаунтам, где была оплата подписки:

Но это ладно, нам то нужен аккаунт с активной подпиской, не так ли? Попробовал еще несколько и нашел:

Скинул доступы в чат и некоторые проверили доступность, Топский даже возобновил подписку:

После этого я попробовал войти с этим аккаунтом в TheForks — и подписка была активна. Но пароль уже кто-то сменил.

Как всегда на поиск уязвимости у меня ушло 5 минут и я получил аккаунты позитива, которые зарегистрированы на почту theforks, сменил пароль и сломал авторизацию в сканере.

Всем добра!


Оставить комментарий