Уязвимость ImgBB: утечка данных курьеров

Сегодня в обратную связь Хроноса обратился подписчик, обнаруживший неприятную деталь в рабоет фотохостинге ImgBB, который нередко используют в ру-дарке. По словам нашего собеседника, благодаря найденной особенности ему удалось заполучить порядка 300 кладов: 50 из них он реализовал, а 50 забрал себе. Как это стало возможным? Сперва несколько слов о самом сервисе. ImgBB — это фотохостинг, предоставляющий возможность бесплатно загружать и делиться изображениями. После добавления файлов и выбора времени их удаления пользователю предоставляются ссылки или HTML/BBCode-коды для вставки на сайты. Хостинг сервиса расположен в США. Регистрация для загрузки изображений не требуется, однако зарегистрированные пользователи имеют ряд дополнительных функций: доступ к истории загрузок, управление изображениями (создание альбомов и т.д). Также существуют платные тарифы с расширенными возможностями. Итак, типичная ситуация: курьер регистрируется и загружает на хостинг свежую выкладку, затем указывает ссылку на изображение в описании на теневом ресурсе. Покупатель переходит по ссылке и видит фотографию, а также никнейм загрузившего файл человека. Если в настройках профиля не сделать аккаунт полностью закрытым, то при переходе по никнейму можно увидеть все изображения, загруженные данным пользователем. Редакция самостоятельно проверила данную особенность, и результат подтвердился — все загрузки действительно отображаются. Решение проблемы довольно простое — правильная настройка аккаунта. Тем не менее невнимательность или незнание функционала ImgBB может привести к не самым приятным последствиям для теневых работников. Возможно, со временем этот пробел будет устранён, но на данный момент сервис остаётся потенциальным источником утечки данных.

🌐