Уязвимость в FindFace позволяющая получить id пользователя без оплаты

Уже всем достаточно хорошо известен сервис FindFace ^[1] для поиска пользователя контактика по фотографии.

С недавнего времени в системе было введено условие, при котором получить ссылку на профиль можно было только заплатив денежку.
Под катом небольшой хак для снятия этого ограничения и немного о том, почему данные внутри своего приложения стоит шифровать.

В самом деле, все достаточно тривиально. При попытке перейти на страницу симпатичной женщины, которую вы нашли, скорее всего вылезет сообщение о том, что профиль вашей возлюбленной будет доступен после взноса некоего количества шекелей.

Но не спешите огорчаться. Ведь Find Face никак не шифрует данные, так что с большой вероятностью вы найдете ее id через ng-inspector (расширение для браузера, позволяющее смотреть данные приложения, написанного на angularJS).

Простым ctrl+c ctrl+v получаем злополучный профиль, а также радуемся сохраненным шекелям в кармане.

Разработчикам было отправлено уведомление о наличии уязвимости, так что не думаю, что кто-то от этого сильно пострадает. На скандал это тоже особо не тянет, просто очередное небольшое напоминание остальным разработчикам, что сокрытие и шифрование данных поможет в будущем избежать больших проблем.

Автор: Lounge1k

Источник ^[2]