Fatalna wpadka Plusa. Każdy mógł pobrać dane klientów.
![Fatalna wpadka Plusa. Każdy mógł pobrać dane klientów.](https://wykop.pl/cdn/c3397993/link_1634497635temnTbkjomobXfvDKixdwY,w300h194.jpg)
Można było ustalić do kogo należy dany numer telefonu a także uzyskać dostęp do PESEL-i, adresów zamieszkania klientów i innych danych.
![d.....k](https://wykop.pl/cdn/c3397992/dedik_Z3VTTPK8L1,q52.jpg)
- #
- #
- #
- #
- #
- #
- 119
Można było ustalić do kogo należy dany numer telefonu a także uzyskać dostęp do PESEL-i, adresów zamieszkania klientów i innych danych.
Komentarze (119)
najlepsze
"Zrób szybko taska i #!$%@? na staging, bo manager chce sobie poklikać, no ile dni Ci to jeszcze zejdzie?"
Mam nadzieję, że osoba odpowiedzialna za to API była na UOP, a nie na b2b. A jeżeli na b2b to może ma chociaż
Komentarz usunięty przez moderatora
źródło: comment_1634504404l3YybjdJuNHRvhzDrcZ7MG.jpg
Pobierzźródło: comment_1634504812P2NutggmQLNyI2ZLHxHMbt.jpg
PobierzPrzede wszystkim zazwyczaj żeby dostać dane z API (takiego które nie jest publiczne) to trzeba "w zębach" dostarczyć token, lub inaczej się uwierzytelnić
"umożliwiało publicznie dostępne, niezabezpieczone żadnym tokenem API (czyli interfejs programowania aplikacji, służący programistom do wygodniejszego sterowania systemami informatycznymi). Plus swoje API udostępnił bez żadnego zabezpieczenia pod następującymi adresami:"
API nie wymagało żadnego tokena. Czyli jak znałeś adres (np. podejrzałeś ruch sieciowy w jakiejś aplikacji) i wysłałeś GET to dostawałeś wszystkie dane, o które poprosiłeś.