Benjamin Caudill et Bryan Seely avoir réalisé, avec uniquement l'email d'un autre utilisateur, révéler vos publications sur le réseau anonyme secrets.
Ce qui a commencé comme un test aléatoire s'est avéré dévoilant un message posté par le PDG lui-même de Secret, David Byttow. La nouvelle sort exactement le même jour que l'application est interdite au Brésil.
La proposition de cette application est de pouvoir révélant des potins et des confessions personnelles que vous ne pouvez pas reconnaître ou tout simplement ne pas divulguer. Suppression du éthique sous-jacente Dans cette application, ils ont constaté que Caudill et Seely pouvaient, en dirigeant email ou numéro de téléphone de tout utilisateur secret, révéler son identité dans tous vos messages.
Heureusement pour les utilisateurs de Secret, Caudill et Seely ont mis les détails de la vulnérabilité à la disposition de Secret. Le PDG de Secret, David Byttow, a confirmé la vulnérabilité, et a déclaré que la société a bloqué le système d'attaque et a commencé une réévaluation du système. «Pour autant que l'on sache, cette vulnérabilité n'a pas été exploitée de manière significative», Déclare Byttow. «Mais nous devons encore prendre des mesures pour déterminer la portée".
«Alors que les pirates révèlent ces types de vulnérabilités via notre programme de récompenses HackerOnenous faisons juste de plus en plus de progrèss », déclare Byttow. «On a eu zéro incident public concernant la sécurité et la confidentialité. Tout est venu grâce à notre programme de récompenses «.
Comment fonctionne Secret
Secret est basé sur le anonymat de la foule pour camoufler l'identité de ses utilisateurs. Lors de sa première installation, vous ne pouvez pas voir les messages de votre cercle social tant que vous ne lui donnez pas accès à la liste de contacts du téléphone. Ensuite, l'application vérifie toutes les adresses e-mail et les numéros de téléphone de la liste des utilisateurs de Secret et vous commencez à les suivre.
Vous devez suivre au moins sept amis avant de pouvoir afficher vos messages anonymes. Même dans ce cas, vous ne savez pas qui sont les contacts qui utilisent l'application. Le problème est que l'agenda est sous votre contrôle. Et c'est ce que Caudill et Seely utilisent à leur avantage.
L'astuce
La première étape de Caudill a été créer un groupe de faux comptes secrets. Puis il supprimer la liste de contacts de l'iPhone, et ajouter les sept fausses adresses e-mail comme contacts. Lorsque vous avez terminé, vous ajoutez le Adresse de courrier électronique de la personne dont vous voulez découvrir les secrets.
Ensuite, le compte est créé en secret et il ne vous reste plus qu'à attendez, Tout message que vous ne mettez pas avec vos faux comptes ou l'authentique, a été mis par l'autre personne.
Ensuite, vous pouvez obtenir les secrets de quelqu'un si vous connaissez son adresse e-mail, mais ne le faites pasou vous pouvez entrer Secret et démasquer l'utilisateur derrière un message spécifique.
Ce qui ne peut pas être, c'est que, se faisant appeler "Secret", dès qu'il entre, il demande un e-mail pour s'inscrire et accéder à l'annuaire téléphonique. Il donne même la possibilité de s'inscrire avec le numéro de téléphone. Avec tous ces éléments, l'application, de «Secret», a peu.
Vous ne pouvez pas le décrire plus clairement….
Merci pour le commentaire !
Il a besoin de mon e-mail et de mon annuaire téléphonique pour commencer à l'utiliser, quel est un secret à ce sujet? Je mets déjà un nom et un visage à mes secrets pour les développeurs, et puis des choses comme ça se produisent ...
Comment créer les faux comptes?