Друзья, за последние сутки многие из нас получали множество СМС-сообщений от Аптеки.ру с кодами авторизации. Такие сообщения можно получить если воспользоваться формой восстановления пароля. Вводите свой телефон, на него приходит СМС с временным кодом, авторизуетесь на сайте.
Проблема заключается в том, что алгоритм проверки кода доступа не работает в монопольном режиме и имеет неадекватное время жизни кода. Что это значит?
1. Я могу ввести код доступа к аккаунту через несколько часов после того, как он пришёл.
2. Сервис разрешает вводить не последний код доступа. Т.е. если запросить несколько кодов, то сервис принимает любой из этих кодов.
Как вы знаете, к сожалению, недавно произошла утечка пользовательских данных на сайте Пикабу. В утёкших данных есть номера телефонов пользователей:
Некоторое время назад произошла утечка данных, о которой нам сообщил один из бдительных пользователей, за что ему (@LLlkoJlbHuk) большое спасибо. В результате в интернет попали номера телефонов и адреса электронных почт пользователей.
Как известно, что попало в интернет, так и остается там. Поэтому доступ к этой информации есть у многих. Тепер о сути проблемы:
В комментариях к посту о взломе Аптеки.ру пользователи активно выкладывают скриншоты СМС с кодами доступа, которые им пришли от сервиса. Воспользовавшись информацией выше, можно авторизоваться на сайте Аптеки и получить доступ к аккаунту. Поэтому пожалуйста, не выкладывайте скриншоты этих СМС в комментарии и другую приватную информацию в интернет.
Пользователи из комментариев к посту:
@SupportTech, наверное, нужно что-нибудь с этим сделать на стороне Пикабу.
В самом аккаунте нет ничего интересного, но можно получить доступ к списку заказов пользователя или как-то иначе использовать его аккаунт.
