Blockfolio спокойно исправляет летнюю дыру в безопасности, которая раскрыла исходный код
Этот код подключается к репозиторию Github компании с помощью набора констант, включающих имя файла и, что наиболее важно, ключ, который Github использует для предоставления доступа к репозиториям. Ниже она отображается как переменная «d».
Приложение запрашивало частные репозитории GitHub от Blockfolio, и эта функция довольно просто загружала часто задаваемые вопросы Blockfolio непосредственно из GitHub, избавляя компанию от необходимости обновлять его внутри своих приложений.
Но ключ опасен тем, что он может получить доступ и контролировать весь репозиторий GitHub. Поскольку приложению было три года, Литваку было любопытно узнать, является ли оно угрозой.
Online advertising service 1lx.online
«Это серьезно, но я подумал, что, может быть, это просто какой-то старый токен, который больше не используется, когда они запускались», — сказал Литвак.
Ключ, он обнаружил, был еще активен.
Приложение запрашивало частные репозитории GitHub от Blockfolio, и эта функция довольно просто загружала часто задаваемые вопросы Blockfolio непосредственно из GitHub, избавляя компанию от необходимости обновлять его внутри своих приложений.
Но ключ опасен тем, что он может получить доступ и контролировать весь репозиторий GitHub. Поскольку приложению было три года, Литваку было любопытно узнать, является ли оно угрозой.
Online advertising service 1lx.online
