GG.pl załatało lukę naruszającą prywatność użytkowników

10-01-2011, 22:06

Administratorzy serwisu GG.pl udostępnili dziś jego poprawioną wersję. Usunięto lukę, która pozwalała na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów.

Podatność została wykryta przez jednego z użytkowników - Karola Olszackiego, który opisał ją na swoim blogu (zob. Full disclosure: „bezpieczeństwo” na GG.pl). Informacja o błędzie w API GG.pl pojawiła się też na łamach Niebezpiecznika. Aby uzyskać dostęp do wpisów na tzw. pulpicie serwisu, wystarczyło skorzystać z odpowiednio spreparowanego adresu (po uprzednim zalogowaniu się na swoje konto w celu pozyskania cookie):

http://www.gg.pl/api/ls/userChannel/uin,[NUMER-GG].jsonr?limit=[ILE-WPISÓW]&includeFlags=0

Luka została załatana po tygodniu od jej zgłoszenia (trzy dni wcześniej, w związku z brakiem reakcji ze strony właściciela serwisu, pojawił się w sieci jej szczegółowy opis). Prywatność użytkowników jest naszym jednym z głównych priorytetów. Dlatego każde takie zgłoszenie rozpatrujemy z pełną powagą - zapewnia Zbigniew Pieńkowski z firmy GG Network, zachęcając do nadsyłania uwag i informacji o znalezionych błędach na adres beta@gadu-gadu.pl

>> Czytaj także: GG.pl stawia na prywatność w komunikacji i reklamy w stylu Facebooka


Przepisy na coś słodkiego z kremem Nutella
Tematy pokrewne:  

tag prywatnośćtag lukitag GG.pltag GG Network
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy