Безопасность в глобальной сети ИнтернетНовости Интернет Сообщества

Недостатки в Branch.io затронули более 685 миллионов пользователей

Более 685 миллионов пользователей пострадали от недостатка безопасности в службе Branch.io, которая использовалась Tinder, Shopify и многими другими веб-службами. Недостаток был вызван ошибкой DOM-XSS, которая влияла на Tinder, Shopify, Yelp и многие другие приложения для знакомств. Недостатки были раскрыты исследователями безопасности в VPNMentor.

Исследователи также предположили, что недостаток может быть использован для получения доступа к пользовательским профилям пользователей Tinder. «После того, как были сделаны первые шаги проверки, был найден домен Tinder с несколькими уязвимостями безопасности на стороне клиента – это означает, что хакеры могут иметь доступ к профилям и деталям пользователей.

Устранила ли компания уязвимость?

Компания начала работу над устранением уязвимости сразу же после того, как была проинформирована об этом недостатке. Хотя уязвимая конечная точка не принадлежит Tinder, а branch.io – платформа, которая используется для присвоения некоторыми крупными корпорациями во всем мире.

«Мы узнали, что уязвимая конечная точка не принадлежит Tinder, а branch.io – платформа атрибуции, используемая многими крупными корпорациями по всему миру. Команда безопасности Tinder помогла нам связаться с ними, и, соответственно, они выпустили своевременный патч ».

Группа безопасности компании также начала расследование и обнаружила, что go.tinder.com является псевдонимом, который в настоящее время принадлежит Branch.io и customer.bnc.it.

Branch.io предоставляет платформу мобильной связи для унификации возможностей пользователей на нескольких устройствах, платформах и каналах. Кроме того, некоторые из таких крупных имен, как Yelp, Western Union, Shopify, RobinHood, Letgo, Imgur, Lookout, fair, Cuvva используют ту же конечную точку URL-адреса, что и точка псевдонима.

Как много пользователей было затронуто уязвимостью branch.io?

Согласно анализу, недостаток, возможно, затронул более 685 миллионов пользователей, использующих уязвимые устройства. XSS, основанный на DOM, обнаруженный экспертами, очень легко использовать во многих веб-браузерах, поскольку исследователи указали на стратегию безопасности контента Brach.io.

«Копая глубже, мы узнали, что многие крупные сайты делили уязвимую конечную точку в своем коде и доменах, включая Shopify, Yelp, Western Union и Imgur. Это означает, что до 685 миллионов пользователей могут подвергаться риску », – продолжает эксперт.
«Хотя этот недостаток уже исправлен, если вы недавно использовали Tinder или какой-либо другой затронутый сайт, мы рекомендуем проверить, чтобы ваша учетная запись не была скомпрометирована. Это хорошая идея, чтобы изменить пароль как можно скорее ».

Подписывайтесь на обновления сайта, а также на наш Telegram.

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button
Close