Badacz: możliwość poznania danych osobowych użytkowników Apple. Nagroda w bug bounty: ~100 000 PLN

Znany badacz Sam Curry opublikował ciekawą notkę na Twitterze:

IDOR on Apple via „X-Dsid” header allows attacker to retrieve name, credit card information, addresses, and various PII of any Apple users via DSID Bounty: $25,000 Could create a „god cookie” which had access to all Apple customers name, address, phone, and billing info.

Na razie nie ma szczegółów, ale podatność wygląda na całkiem sporą. Z jednej stromy wystarczyło podać nagłówek X-Dsid, z wartością odpowiadającą ID użytkownika. Z wpisu można wnioskować, że identyfikatory były zwykłymi liczbami. Dodatkowo potrzebne było odpowiednie „master-ciasteczko”, które umożliwiało taką operację (badacz na razie nie podał w jaki sposób można było je wygenerować).

Wg relacji, Apple przyznało nagrodę w wysokości $25 000.

–ms