Приложение Clinkle взломано еще до официального запуска

Злоумышленники, взломавшие базу данных сервиса, выложили полученную информацию в открытом доступе в Сети.

Невидимое платежное приложение Clinkle, анонс которого взбудоражил общественность, оказалось самым нерентабельным проектом последних лет. Так, система, разработчики которой получили от инвесторов $30 млн, была взломана еще до официального релиза.

Хакер, получивший доступ к базе данных, выложил скомпрометированный список на ресурсе Pastebin. В результате огласке преданы логины, идентификационные номера, фото профилей и телефонные номера 33 пользователей. Учитывая, что списке значатся данные создателя Clinkle и других топ-менеджеров проекта, аналитики считают, что хакерам удалось взломать базу данных, в которой хранилась информация о бета-тестировании новинки и тех, кто принимал в нем участие.

По данным экспертов, для взлома злоумышленники использовали частные API, являющиеся часть инструмента автозаполнения. К примеру, если пользователь вводит букву "А", система выводит список всех пользователей, ник которых в системе начинается с нее.

По словам хакера, взломавшего базу Clinkle, используемый интерфейс API не требует аутентификации пользователя. "Приложение записывает данные на диск автоматически, это даже хуже, чем в ситуации со Snapchat", – завил киберпреступник в своем сообщении на Pastebin, отметив, что номера телефонов зашифровал "из вежливости".

Комментируя инцидент, разработчики Clinkle заявили, что доступ к приложению был у узкого круга сотрудников и в настоящий момент скомпрометированная API не используется.

Tweet