Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Badacz: możliwość poznania danych osobowych użytkowników Apple. Nagroda w bug bounty: ~100 000 PLN
Znany badacz Sam Curry opublikował ciekawą notkę na Twitterze:
IDOR on Apple via „X-Dsid” header allows attacker to retrieve name, credit card information, addresses, and various PII of any Apple users via DSID Bounty: $25,000 Could create a „god cookie” which had access to all Apple customers name, address, phone, and billing info.
Na razie nie ma szczegółów, ale podatność wygląda na całkiem sporą. Z jednej stromy wystarczyło podać nagłówek X-Dsid, z wartością odpowiadającą ID użytkownika. Z wpisu można wnioskować, że identyfikatory były zwykłymi liczbami. Dodatkowo potrzebne było odpowiednie „master-ciasteczko”, które umożliwiało taką operację (badacz na razie nie podał w jaki sposób można było je wygenerować).
Wg relacji, Apple przyznało nagrodę w wysokości $25 000.
–ms