Невидимое платежное приложение Clinkle, анонс которого взбудоражил общественность, оказалось самым нерентабельным проектом последних лет. Так, система, разработчики которой получили от инвесторов $30 млн., была взломана еще до официального релиза.
Хакер, получивший доступ к базе данных, выложил скомпрометированный список на ресурсе Pastebin. В результате огласке преданы логины, идентификационные номера, фото профилей и телефонные номера 33 пользователей. Учитывая, что в списке значатся данные создателя Clinkle и других топ-менеджеров проекта, аналитики считают, что хакерам удалось взломать базу данных, в которой хранилась информация о бета-тестировании новинки и тех, кто принимал в нем участие.
По данным экспертов, для взлома злоумышленники использовали частные API, являющиеся частью инструмента автозаполнения. К примеру, если пользователь вводит букву “А”, система выводит список всех пользователей, ник которых в системе начинается с нее.
По словам хакера, взломавшего базу Clinkle, используемый интерфейс API не требует аутентификации пользователя. “Приложение записывает данные на диск автоматически, это даже хуже, чем в ситуации со Snapchat”, – завил киберпреступник в своем сообщении на Pastebin, отметив, что номера телефонов зашифровал “из вежливости”. Комментируя инцидент, разработчики Clinkle заявили, что доступ к приложению был у узкого круга сотрудников и в настоящий момент скомпрометированная API не используется. (Clinkle/NovostIT)