Konsultant ds. bezpieczeństwa i twórca Have I Been Pwned, Troy Hunt, szczegółowo opisał lukę w interfejsie API Spoutible, platformy społecznościowej, która pojawiła się po przejęciu Twittera przez Elona Muska, która może umożliwić hakerom przejęcie pełnej kontroli nad kontami użytkowników.
Po tym, jak ktoś zaalarmował Hunta o luce, odkrył, iż hakerzy mogą to wykorzystać Interfejs API Spoutible umożliwiający uzyskanie nazwy użytkownika, nazwy użytkownika i biografii, a także jego adresu e-mail, adresu IP i numeru telefonu. Od tego czasu Spoutible zajęło się luką w zabezpieczeniach, pisze w poście na swojej stronie iż nie wyciekł odszyfrowanych haseł ani wiadomości bezpośrednich, potwierdzając jednocześnie, iż „zeskrobane informacje obejmowały adresy e-mail i niektóre numery telefonów komórkowych”. Zaprosiła każdego, kto przez cały czas chce korzystać z usługi, na „specjalną sesję kapsuły” o godzinie 13:00 czasu wschodniego. Zarówno Spoutible, jak i Hunt zalecają użytkownikom zmianę haseł i zresetowanie 2FA.
Jak wspomniał Hunt, nie jest to całkowicie rzadkie, co widać w podobnych incydentach związanych ze zbieraniem danych na platformach takich jak Facebook I Trello.
Hunt odkrył jednak coś znacznie bardziej niepokojącego: nieuczciwi aktorzy mogą również wykorzystać tego exploita w celu uzyskania zaszyfrowanej wersji haseł użytkowników. Chociaż były chronione dzięki protokołu bcrypt, krótkie lub słabe hasła mogły być dość łatwe do rozszyfrowania, a usługa uniemożliwiała użytkownikom ustawianie dłuższych haseł, które byłyby trudniejsze do złamania.
Co więcej, Hunt odkrył, iż interfejs API zwrócił kod 2FA używany do logowania się na czyjeś konto, a także tokeny resetowania wygenerowane, aby pomóc użytkownikowi zmienić zapomniane hasło. Może to umożliwić hakerom łatwe uzyskanie dostępu do czyjegoś konta i przejęcie go bez powiadamiania go o naruszeniu.
Według Hunta exploit ujawnił e-maile około 207 000 użytkowników. To prawie wszyscy na całej platformie, as raport z czerwca 2023 r. z Przewodowy wskazał, iż Spoutible ma 240 000 użytkowników.
