Administratorzy serwisu GG.pl udostępnili dziś jego poprawioną wersję. Usunięto lukę, która pozwalała na pobranie tzw. live streamu dowolnego użytkownika, nawet jeśli nie miało się go na swojej liście kontaktów.
reklama
Podatność została wykryta przez jednego z użytkowników - Karola Olszackiego, który opisał ją na swoim blogu (zob. Full disclosure: „bezpieczeństwo” na GG.pl). Informacja o błędzie w API GG.pl pojawiła się też na łamach Niebezpiecznika. Aby uzyskać dostęp do wpisów na tzw. pulpicie serwisu, wystarczyło skorzystać z odpowiednio spreparowanego adresu (po uprzednim zalogowaniu się na swoje konto w celu pozyskania cookie):
http://www.gg.pl/api/ls/userChannel/uin,[NUMER-GG].jsonr?limit=[ILE-WPISÓW]&includeFlags=0
Luka została załatana po tygodniu od jej zgłoszenia (trzy dni wcześniej, w związku z brakiem reakcji ze strony właściciela serwisu, pojawił się w sieci jej szczegółowy opis). Prywatność użytkowników jest naszym jednym z głównych priorytetów. Dlatego każde takie zgłoszenie rozpatrujemy z pełną powagą - zapewnia Zbigniew Pieńkowski z firmy GG Network, zachęcając do nadsyłania uwag i informacji o znalezionych błędach na adres beta@gadu-gadu.pl
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*