Spoyl数据泄漏背后的故事

我就像Hurrayyy当我找到这个…所以我用一个随机的电子邮件ID spoyl@gmail.com对其进行了操作…和Guess …结果如何，我成功登录到用户的帐户…主要故事开始对我来说是聚会时间，但还不算早…
现在，我搜索了他们的CEO电子邮件地址，并希望能在到达火箭的地方找到它。…我已经打开了他们CEO的帐户并获得了他的手机号码…。有趣的是，获得没有CEO的私人电话将使报告举报变得容易。错误…我向前走，并向他报告了该错误，他立即打电话给我，询问该错误…我以为他是一个负责任的人…但是，等等没什么…第二天我检查了问题，它仍然在那里，我就像-Whaaat 这是帐户超越还是XSS，为什么这些人没有认真对待呢？我离开了，一周后又检查了一次……嗯，它还在，我再次联系了首席执行官…..封锁了我…那时我很困惑，离开了他们……现在，在9月，我再次检查了一下，猜出该bug仍然存在，现在，我非常生气。因为该网站使数以百万计的数据处于危险之中，并且许多印度名人使用spoyl帐户…..真的，我没想到硅谷的返回者会这样。。。（是的，他曾在硅谷工作过）。 ..现在我想与一些记者联系以强调此问题…我已经联系了许多记者，但得到了《赫芬顿邮报》的Rachna Khaira夫人的帮助。她给我打了个电话，询问有关该错误的所有信息。当我告诉她许多印度名人时，她感到很惊讶…他们的帐户拥有spoyl，我可以访问他们的电话号码，地址详细信息…..她要求我提供证据，因此我向她发送了印度名人帐户的证明。 ..她核实了这个问题并联系了Spoyl的首席执行官，并确认了这个问题…他们在第二天解决了这个问题……（媒体的力量）我在此背后的动机应该成为每个公司的当务之急……但其中有70％不重视网络安全的公司……这是公司最重要的部分。许多公司不尊重帮助他们改善安全性的安全研究人员，即使许多公司威胁他们要提起诉讼。试想一下，如果一个黑帽黑客而不是白帽黑客遇到了相同的错误，那么他可以对您做什么。我们希望拥有安全的网络空间，应更改的内容每个公司都应启动负责任的披露政策的漏洞赏金计划。您应该尊重每一个向您报告错误的黑客，而不是利用它们。初创公司的心态应该是您应该在公司成立时启动漏洞赏金计划，或者应该定期且在任何漏洞发布之前进行漏洞评估。服务。这对初创公司很重要，因为如果您的声誉下跌到您的起步水平，那么对您来说很难恢复名誉。POC视频不要忘记阅读此新闻文章：https://www.huffingtonpost。 in / entry / spoyl-website-bug-found-by-14-year_in_5dc1641ae4b0615b8a99830c祝您今后一切顺利。如果您对本帖子有任何疑问和疑问，请通过Twitter与我联系。我将打开我的DM。 Twitter特别感谢Sai Krishna Kothapalli的下一次校对如果您喜欢我的博客文章和我的作品，请考虑查看我的“给我买咖啡”页面
https://www.buymeacoffee.com/jgUFSPu