Уже всем достаточно хорошо известен сервис FindFace для поиска пользователя контактика по фотографии.
С недавнего времени в системе было введено условие, при котором получить ссылку на профиль можно было только заплатив денежку.
Под катом небольшой хак для снятия этого ограничения и немного о том, почему данные внутри своего приложения стоит шифровать.
В самом деле, все достаточно тривиально. При попытке перейти на страницу симпатичной женщины, которую вы нашли, скорее всего вылезет сообщение о том, что профиль вашей возлюбленной будет доступен после взноса некоего количества шекелей.
Но не спешите огорчаться. Ведь Find Face никак не шифрует данные, так что с большой вероятностью вы найдете ее id через ng-inspector (расширение для браузера, позволяющее смотреть данные приложения, написанного на angularJS).
Простым ctrl+c ctrl+v получаем злополучный профиль, а также радуемся сохраненным шекелям в кармане.
Разработчикам было отправлено уведомление о наличии уязвимости, так что не думаю, что кто-то от этого сильно пострадает. На скандал это тоже особо не тянет, просто очередное небольшое напоминание остальным разработчикам, что сокрытие и шифрование данных поможет в будущем избежать больших проблем.
Автор: Lounge1k
