Door een beveiligingslek in de populaire fotodienst Flickr had een Canadese scholier de mogelijkheid om naar alle accounts en gekoppelde blogs foto's te uploaden. Flickr biedt gebruikers via een speciaal gegenereerd e-mailadres de mogelijkheid om foto's naar hun album of blog te uploaden.
Hiervoor beschikken de accounts over een eigen uniek 'upload e-mailadres'. Alleen het kennen van dit adres is voldoende om foto's aan een album of blog toe te voegen. De scholier wilde dan ook kijken of er een manier was om dit e-mailadres te achterhalen. Het e-mailadres dat Flickr genereert bestaat uit een willekeurig woord uit een woordenboek, gevolgd door een getal tussen de nul en honderd, gevolgd door weer een woord.
De scholier, met alias Jazzy, ontdekte dat de gebruikte woorden altijd korter dan zes karakters waren. Daarop besloot hij een script te schrijven om te kijken of hij de gebruikte woorden kon achterhalen. Het script leverde bijna 24.000 geldige e-mailadressen op, maar belangrijker, het aantal woorden waar de upload e-mailadressen uit bestaan. Flickr bleek een woordenboek van slechts 935 unieke woorden te hanteren.
935 keer 935 keer 100 resulteert in 87,4 miljoen mogelijke e-mailadressen. Flickr heeft 51 miljoen geregistreerde gebruikers en elke gebruiker heeft een uniek e-mailadres om foto's te uploaden. Een aanvaller zou met de achterhaalde e-mailadressen zodoende naar alle Flickr-accounts foto's kunnen uploaden. De fotodienst blijkt ook het e-mailadres waarvandaan de foto's afkomstig zijn niet te verifiëren. Volgens de scholier is het mogelijk om 87,4 miljoen e-mails binnen drie uur te versturen. Na ontdekking van het lek waarschuwde hij Yahoo, waarop de scholier naar eigen zeggen "een mooie beloning ontving" en het probleem werd verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.