Уязвимость или косяк в Яндекс.Музыке?
По умолчанию плейлист твоего лайкнутого, фамилия и имя указанные в аккаунте доступны вообще любому желающему в сети интернет.
Берете ссылку через поделиться, добавляете почту яндекса в юзернейм и смотрите плейлист интересующего человека ( user меняется на почту до @)
В ходе тестирования мной не было замечено технического ограничения на количество запросов к плейлистам других пользователей. (Можешь спокойно парсить список лайкнутого всех пользователей, у которых есть Яндекс.музыка, даже тех у кого отключена платная подписка).
Возможный, пусть возможно и фантастический вектор атаки - узнаешь плейлист, совершаешь звонок пользователю и представившись сотрудником Яндекс.Музыки, (сказав для проверки какая там у него история лайков, плюс можно отслеживать оперативно что человек себе добавил (очень любопытно бывает посмотреть интересные пользователю подкасты) , инфа обновляется очень быстро и дальше уже пытаться получить коды из почты.
Настройка "Настройки -> Публичный доступ к моей фонотеке", которая его убирает - отсутствует в мобильном приложении, плюс она включена по умолчанию для всех пользователей мобильного приложения Яндекс.Музыки.
Если пользователь скрывает плейлист, пропадает логический и функциональный смысл в кнопке Поделиться у плейлиста "Мне нравится", кнопка будет делиться ссылкой, которая не будет открываться и работать.
Служба ИБ Яндекса через форму багбаунти ответила что это (ФИ указанные в аке) не является sensitive data и не является Information Disclosure (в принципе это можно вытащить и через почту)
Отакая фигня малята, есть какие-то вопросы почему с UX такие штуки?
Информационная безопасность IT
1.5K постов25.6K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.