未受保护的API公开了Kardashian网站的用户详细信息

昨天，卡戴珊氏族为Kim Kardashian，Khloe Kardashian，Kendall Jenner和Kylie Jenner推出了四个新网站和四个新应用程序。

每个女孩都开设了自己的网站和一个附带的基于订阅的移动应用程序，该应用程序将向其亲爱的追随者推送优质和独家内容。

试图通过名利获利的名人并不是什么新鲜事物，但是正如所有开发人员所知道的那样，大多数刚启动的服务通常都有一些错误。尽管卡戴珊主义者可能认为自己比其他任何人都重要，但他们的网站肯定不是。

根据Communly首席执行官兼联合创始人Alaxic Smith的说法，这些新应用和网站背后的公司Whalerock Digital Media对其API服务器赋予了不受保护的状态，从而使任何精通技术的用户都可以获得在Kardashian / Jenner网站上注册的用户的详细信息。

史密斯先生在一个中型博客文章（如果中型博客文章出现故障，Google缓存在这里）中讲述了自己的故事，他自己是一名开发人员，并且对看到凯莉·詹纳（Kylie Jenner）最近建立的网站是如何构造的好奇心所驱使，因此他在源代码中进行了筛选。

解压缩了一个缩小的ja vasc ript文件后，他遇到了一个API端点。为了查看API另一端的内容，史密斯先生尝试在浏览器中访问它。最初遇到错误消息后，他在Kylie的网站上注册，并很快被授予对API内容的访问权限。

网站的API揭示了其所有注册用户的详细信息

起初他以为自己偶然发现了一些虚假数据，但令他惊讶的是，史密斯先生发现该API没有得到适当的保护，他实际上正在查看整个站点的用户群，其中显示了用户名，名字和姓氏，电子邮件等信息。地址，用户级别和订户状态。

他在所有其他女孩的网站上发现了相同的问题，并且根据他的发现，当他发现安全漏洞时，API透露在Kylie Jenner的网站（thekyliejenner.com）上注册了663,270个用户，其中96,635个用户在Khloe Kardashian的网站（khloewithak.com）上注册，在Kim Kardashian的网站（kimkardashianwest.com）上有80,679个用户，在Kendall Jenner的网站（kendallj.com）上有50,756个用户。

是的，我们也看到了。凯莉（Kylie）网站上的用户数量比金（Kim）网站上的用户多8倍。

Whalerock Digital Media已收到有关此问题的通知，并且自太平洋标准时间上午8:10开始，已保护API终结点不受未经授权的访问。

来源：softpedia

本文版权归原作者所有，如有侵权请联系我们及时删除