×
Change.org компрометирует данные пользователей

Онлайн-сервис Change.org, который позволяет проводить голосования в крупном масштабе, в результате ошибки в коде сайта показывает e-mail-адреса бывших и текущих подписчиков. Поисковые запросы показывают, что таких номеров могут быть тысячи, однако сам веб-сайт утверждает, что их не более сотни. Подробностями делится портал arstechnica.com.


Ошибка в коде страницы все еще была активна на момент подготовки новостного материала, позволяя любому желающему получить доступ к базе e-mail-адресов через окно поиска на сайте или посредством поисковых сервисов Google или Bing. Количество результатов разнится между 40 000 и 65 000, хотя не все из них включают e-mail-адреса. Утечка произошла в результате использования Change.org ссылок, которые содержат действующие ключи GET, использующиеся для авторизации пользователей, когда они вводят свои пароли. Ошибка в коде добавляет ключи автоматически, даже если пользователь не авторизован. При этом ключ полностью появляется в адресной строке.


Связанные страницы показывают сам e-mail-адрес пользователя. Отдельная ссылка позволяет увидеть петиции, подписанные пользователем, однако при попытке получить доступ к профилю происходит переход на страницу авторизации.


Утечка стала предметом бурного обсуждения в Twitter в конце прошлой недели. Она была обнаружена одним из пользователей, который пытался отписаться от рассылок Change.org. Директор по коммуникациям Change.org Джон Ковентри сказал, что организация обнаружила утечку в шесть утра по американскому времени. Инженеры сайта отключили функцию поиска, чтобы предупредить утечку данных, и команда программистов занялась устранением ошибки. Однако на момент написания новости порталом arstechnica.com ошибка все еще имела место.



Автор: Александра Кисель