Заборы из стеклянных кирпичей, заговор онлайн-переводчиков, удаленный взлом «Боинга»
Уязвимость в API угрожает сливом конфиденциальных данных Twilio и Amazon S3
Новость на русском, Отчет appthority
Сложно объяснить, почему разработчики Twilio решили сделать так, чтобы в код приложений, использующих их Rest API и SDK, было необходимо жестко «зашить» учетные данные для доступа к БД. Но сделали они именно так. И это несмотря на то, что собственные политики безопасности Twilio такие фортели запрещают.
API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.
Читать дальше →
Новость на русском, Отчет appthority
API для доступа к сервисам Twilio позволяют обмениваться сообщениями и голосовыми звонками — функции, востребованные в корпоративных приложениях. Тот, кто сумеет выдрать из этого кода ключи от учетной записи Twilio, получит доступ ко всем метаданным и голосовым записям, которые хранятся на корпоративном аккаунте. А это миллионы и миллионы минут разговоров и бесчисленные текстовые сообщения о важных контрактах, заказах оборудования и любовных интрижках гендиров. Как говорится, упс.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Раскрываем секретные функции: магия макросов в Burp Suite
- AITU Military CTF 2024: История о том, как мой сон привел к поднятию киберполигона в стенах моего университета. Часть 1
- Объявлены победители RUWARD AWARD 2024
- Виртуальное повышение. Эскалируем привилегии в VirtualBox
- Сила шифрования или как я выявил недостаток работы Defender’а
- Джентльменский набор OSINT
- Памяти Кевина Митника — хакера, ломавшего ФБР, АНБ и Кремниевую долину. Часть 5: призрачный номер и загадочный хакер
- Погружаемся в PEB. DLL Spoofing
- Децентрализованное доверие. 1. Гипотеза
- Боли и решения: какие трудности возникают при найме коммуникаторов