Уязвимость или косяк в Яндекс.Музыке?
По умолчанию плейлист твоего лайкнутого, фамилия и имя указанные в аккаунте доступны вообще любому желающему в сети интернет.
Берете ссылку через поделиться, добавляете почту яндекса в юзернейм и смотрите плейлист интересующего человека ( user меняется на почту до @)
В ходе тестирования мной не было замечено технического ограничения на количество запросов к плейлистам других пользователей. (Можешь спокойно парсить список лайкнутого всех пользователей, у которых есть Яндекс.музыка, даже тех у кого отключена платная подписка).
Возможный, пусть возможно и фантастический вектор атаки - узнаешь плейлист, совершаешь звонок пользователю и представившись сотрудником Яндекс.Музыки, (сказав для проверки какая там у него история лайков, плюс можно отслеживать оперативно что человек себе добавил (очень любопытно бывает посмотреть интересные пользователю подкасты) , инфа обновляется очень быстро и дальше уже пытаться получить коды из почты.
Настройка "Настройки -> Публичный доступ к моей фонотеке", которая его убирает - отсутствует в мобильном приложении, плюс она включена по умолчанию для всех пользователей мобильного приложения Яндекс.Музыки.
Если пользователь скрывает плейлист, пропадает логический и функциональный смысл в кнопке Поделиться у плейлиста "Мне нравится", кнопка будет делиться ссылкой, которая не будет открываться и работать.
Служба ИБ Яндекса через форму багбаунти ответила что это (ФИ указанные в аке) не является sensitive data и не является Information Disclosure (в принципе это можно вытащить и через почту)
Отакая фигня малята, есть какие-то вопросы почему с UX такие штуки?