昨日卡戴珊集团为金·卡戴珊、科勒·卡戴珊、肯达尔·詹娜和凯莉·詹娜四姐妹推出四个新网站和四个新APP。
姐妹四人都可以通过管理自己的网站和基于订阅的移动APP,为粉丝发布优质独家的内容。
名人试图利用名气赚钱已经不是新鲜事,但所有的开发者都知道多数服务通常或多或少会有一些bug。不过卡戴珊姐妹们可能自信地认为她们的网站会完美无缺。
Communly公司CEO和联合创始人Alaxic Smith表示,负责开发卡戴珊姐妹新网站和应用的数字媒体公司Whalerock Digital Media,没有对API服务器进行适当保护,使任何精通技术的用户都能够获取该网站注册用户的具体信息。
Smith在媒体博客中称,由于好奇,他自己分析了网站源代码。在拆包一个缩小版的JavaScript文件后,他遇到一个API端点并试图在浏览器中访问API另一端的内容。当遇到第一次错误消息后,他在凯莉的网站进行了注册,并很快得到查看API内容的授权。
网站API泄露所有注册用户的信息
尽管刚开始Smith被一些假数据迷惑,不过他意外发现API未受适当保护,而且实际上他可以看到网站的所有用户数据库,包括用户名、电子邮件地址、用户等级以及订阅状态等信息。
其他几位女孩的网站也出现了同样的问题。截止到他发现这个安全漏洞的时间,凯莉•詹娜的网站有663,270名注册用户 (thekyliejenner.com),科勒•卡戴珊的网站有96,635名注册用户(khloewithak.com),金•卡戴珊的网站有 80,679名注册用户(kimkardashianwest.com),肯达尔•詹娜的网站有50,756名注册用户(kendallj.com)。从 中可知,凯莉的用户是金卡戴珊的8倍。
该漏洞已通知给Whalerock Digital Media公司,并于太平洋标准时间8点10分修复。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。