Troy Hunt abre o texto assim:
Já ouviu uma daquelas histórias em que, à medida que ela se desenrola, você se inclina cada vez mais para perto e murmura: “Não pode ser! Não pode ser! NÃO PODE SER!”? Esta, no que diz respeito às histórias de segurança da informação, fez com que eu me inclinasse e murmurasse como nunca antes.
Em resumo, uma chamada simples à API do Spoutible, um dos candidatos a substituto do Twitter, retornava meio que todos os dados que a empresa tinha do usuário, incluindo códigos de 2FA e e-mail de redefinição da senha.
O “ataque hacker” era perpetrado com um simples curl https://spoutible.com/sptbl_system_api/main/user_profile_box?username=usuario ou então abrindo o inspetor de elementos do navegador (F12) ao passar o mouse por cima de um perfil, no site.
Que blz!! O nível ai de certeza que ninguém ia descobrir essa brecha é bizarra.
A cada dia que passa, eu vejo que não existem motivos para estar em uma rede social.
Eu só estou em uma e logo vou apagar a minha conta.
Depois vou começar a excluir vários dos serviços que tenho cadastro.