image

Scholier kon door lek naar alle Flickr-accounts foto's uploaden

donderdag 5 oktober 2017, 11:12 door Redactie, 3 reacties

Door een beveiligingslek in de populaire fotodienst Flickr had een Canadese scholier de mogelijkheid om naar alle accounts en gekoppelde blogs foto's te uploaden. Flickr biedt gebruikers via een speciaal gegenereerd e-mailadres de mogelijkheid om foto's naar hun album of blog te uploaden.

Hiervoor beschikken de accounts over een eigen uniek 'upload e-mailadres'. Alleen het kennen van dit adres is voldoende om foto's aan een album of blog toe te voegen. De scholier wilde dan ook kijken of er een manier was om dit e-mailadres te achterhalen. Het e-mailadres dat Flickr genereert bestaat uit een willekeurig woord uit een woordenboek, gevolgd door een getal tussen de nul en honderd, gevolgd door weer een woord.

De scholier, met alias Jazzy, ontdekte dat de gebruikte woorden altijd korter dan zes karakters waren. Daarop besloot hij een script te schrijven om te kijken of hij de gebruikte woorden kon achterhalen. Het script leverde bijna 24.000 geldige e-mailadressen op, maar belangrijker, het aantal woorden waar de upload e-mailadressen uit bestaan. Flickr bleek een woordenboek van slechts 935 unieke woorden te hanteren.

935 keer 935 keer 100 resulteert in 87,4 miljoen mogelijke e-mailadressen. Flickr heeft 51 miljoen geregistreerde gebruikers en elke gebruiker heeft een uniek e-mailadres om foto's te uploaden. Een aanvaller zou met de achterhaalde e-mailadressen zodoende naar alle Flickr-accounts foto's kunnen uploaden. De fotodienst blijkt ook het e-mailadres waarvandaan de foto's afkomstig zijn niet te verifiëren. Volgens de scholier is het mogelijk om 87,4 miljoen e-mails binnen drie uur te versturen. Na ontdekking van het lek waarschuwde hij Yahoo, waarop de scholier naar eigen zeggen "een mooie beloning ontving" en het probleem werd verholpen.

Reacties (3)
06-10-2017, 10:57 door Anoniem
Zijn blogpost: https://ret2got.wordpress.com/2017/10/05/how-i-could-have-mass-uploaded-from-every-flickr-account/
06-10-2017, 14:26 door Anoniem
Ja sorry hoor, maar wie bedenkt zo'n systeem, plak dan een een of andere auth code in elke email. Daarnaast zou ik bij het maken van zo iets, altijd een bevestigingsmail sturen. Dus als iemand dan een foto upload, ben je er wel snel achter.

Dus denk niet echt dat hij letterlijk instaat was masaal te uploaden. Ik kan hier ook uit elke winkel in de straat iets stelen, totdat de politie me oppakt aan het einde van de straat
06-10-2017, 17:26 door Anoniem
Door Anoniem: Zijn blogpost: https://ret2got.wordpress.com/2017/10/05/how-i-could-have-mass-uploaded-from-every-flickr-account/
Die link staat ook in het artikel...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.