Дыра в безопасности сервиса Яндекса МойКруг

Обнаружил сегодня совершенно случайно огромную дыру в безопасности самой популярной в России социальной сети профессионалов MoiKrug.ru.

Если пользователь «А» приглашает пользователя «Б» присоединиться к 1-му кругу, то пользователю «Б» приходит текст приглашения на электронную почту и в этом же письме содержится ссылка «Принять решение и рассмотреть подробности», которая собственно и ведёт на страничку на сайте, где можно принять решение о том, вступать в круг или нет. Разумеется, на это электронное письмо, как и на любое другое можно ответить, например, через Reply-to и многие интернет пользователи делают это по привычке с цитированием. Так вот пользователь «А» получив такой ответ с цитированием, может кликнуть по той ссылке, приготовленной для пользователя «Б» и беспрепятственно попасть на сайт будучи залогиненным под пользователем «Б» и может изменять его личные данные и т.д.

Как только заметил, написал в саппорт, оттуда ответили, что о проблеме знают и что она уже решена. Не знаю, как у вас, а у меня всё работает в прежнем режиме.

Несерьёзно, уважаемый Яндекс, ловите камень в свой огород.

4 Comments

Leave a Reply