BrickLink – это крупнейшее в мире онлайн-сообщество поклонников LEGO, в котором зарегистрировано более миллиона участников. В API сайта сообщества специалисты Salt Security обнаружили две уязвимости, успешная эксплуатация которых могла позволить злоумышленникам получить доступ к аккаунтам пользователей или взломать внутренние серверы.
Бреши в защите были обнаружены в ходе тестирования полей с которыми взаимодействуют пользователи BrickLink.
Первая уязвимость оказалась связана с полем “Найти пользователя по никнейму” в разделе поиска купонов. Она позволяла злоумышленнику внедрить и выполнить код на устройстве цели, используя специально созданную ссылку. Используя ID сеанса пользователя, полученный на другой странице, хакер мог воспользоваться этой брешью в защите, чтобы перехватить сеанс и завладеть аккаунтом пользователя.
Последствия такого взлома могли быть крайне серьезными, ведь в руки киберпреступника попадали все данные жертвы, хранящиеся на сайте:
ИБ-исследователи сообщили об уязвимостях администрации платформы, которая уже приняла меры по их устранению.
Бреши в защите были обнаружены в ходе тестирования полей с которыми взаимодействуют пользователи BrickLink.
Первая уязвимость оказалась связана с полем “Найти пользователя по никнейму” в разделе поиска купонов. Она позволяла злоумышленнику внедрить и выполнить код на устройстве цели, используя специально созданную ссылку. Используя ID сеанса пользователя, полученный на другой странице, хакер мог воспользоваться этой брешью в защите, чтобы перехватить сеанс и завладеть аккаунтом пользователя.
Последствия такого взлома могли быть крайне серьезными, ведь в руки киберпреступника попадали все данные жертвы, хранящиеся на сайте:
- Некоторые личные данные;
- Адрес электронной почты;
- Адрес доставки заказов;
- История заказов;
- Купоны;
- Полученные отзывы;
- Список желаемых товаров;
- История сообщений.
ИБ-исследователи сообщили об уязвимостях администрации платформы, которая уже приняла меры по их устранению.