Pinterest heeft onlangs een kwetsbaarheid in de API (application programming interface) gedicht waarmee aanvallers informatie over gebruikers konden buitmaken. Simpelweg het wijzigen van de gebruikersnaam gaf meer informatie die aan dat account is verbonden, zoals het e-mailadres. De exploit werkte op elke gebruikersnaam, zegt ontdekker Dan Melamed op zijn blog.

Verantwoordelijk onthullen

Hij geeft in zijn blogpost een voorbeeld hoe de exploit werkte. Melamed heeft Pinterest op de hoogte gesteld van zijn bevindingen en het sociale prikbord heeft het gat inmiddels gedicht. De security-onderzoeker kreeg vervolgens toestemming om zijn bevindingen openbaar te maken. Dit staat in contrast met een eerder voorval waarbij StumbleUpon hem juist verbood een gepatcht gat te openbaren.

Melamed heeft zijn proof of concept gefilmd:

Melamed zegt dat de kwetsbaarheid in Pinterest kon worden uitgebuit door hackers met een bot om de e-mailadressen te oogsten. Vervolgens konden de datadieven die buit dan verkopen aan spammers of phishers. Een manier om het gat te dichten, is een eenvoudig lijkende vergelijking. Daarbij wordt de eigenaar van de toegangstoken waarmee het aanmeldingssysteem is binnengekomen gelegd naast de gebruiker van wie de informatie wordt opgevraagd. Daarbij zou dan blijken dat die niet dezelfde zijn. Onbekend is of Pinterest deze oplossing heeft gekozen.

Melamed is door Pinterest vanwege deze ontdekking opgenomen in de Pinterest Heroes List, een overigens tot nu toe zeer beperkte lijst van drie namen in het kader van responsible disclosure.