Vibe-chaos. Hacker zgłosił podatności do AI-owej platformy do tworzenia aplikacji bez kodowania (Lovable)…

Chodzi o ten incydent. Zgłoszenie poszło przez HackerOne. Ale ziomki z HackerOne zamknęły zgłoszenia (“no elo, duplikat, kaski nie będzie, have a nice day ;-) No to hacker poczekał 48 dni, z nadzieją że może jednak obsłużą tego buga, po czym ruszył do hackowania. Hackowanie: “Założyłem dziś bezpłatne konto w...

#Aktualności #Ai #BugBounty #Hackerone #IDOR #Websec

https://sekurak.pl/vibe-chaos-hacker-zglosil-podatnosci-do-ai-owej-platformy-do-tworzenia-aplikacji-bez-kodowania-lovable/

180к MAU, 43% детей и „филькина грамота“: как я искал уязвимости, а нашёл бизнес-схему

Друг скидывает ссылку на очередной российский дейтинг-бот, ты решаешь пробежаться по DevTools “вспомнить старое”, и через 5 минут понимаешь, что попал в Матрицу: сервис, где создана иллюзия безопасности, а на самом деле — она мнимая и поддерживается документами, а не кодом. С минимальным тулкитом ты находишь 4 High уязвимости и полноценную утечку данных пользователей. Подробная история о том, как простой багхантинг превратился в масштабное расследование для проекта с 180 тысячами ежемесячных пользователей.

https://habr.com/ru/articles/1030936/

#IDOR #PHPSESSID #Mimolet_уязвимость #S3_публичный_бакет #скрейпинг #OWASP_API_Top_10 #Broken_Authentication #утечка_данных #недостатки_безопасности #приватность

Violazione ANTS: un banale difetto IDOR espone 19 milioni di identità francesi in vendita sul dark web

https://insicurezzadigitale.com/violazione-ants-un-banale-difetto-idor-espone-19-milioni-di-identita-francesi-in-vendita-sul-dark-web/

📰 RCI Hospitality Data Breach Exposes Sensitive Information of Contractors

RCI Hospitality Holdings discloses a data breach exposing contractor PII, including SSNs. ‼️ The breach was caused by an Insecure Direct Object Reference (IDOR) vulnerability on a web server. #DataBreach #IDOR #Vulnerability

🔗 https://cyber.netsecops.io/articles/rci-hospitality-discloses-data-breach-exposing-contractor-information/?utm_source=mastodon&utm_medium=social&utm_campaign=twitter_auto

Уязвимости в мессенджере MAX

С момента запуска программы Bug Bounty в июле 2025 года в системе накопилось уже 454 отчёта, из которых признаны валидными 288. Это не просто «рабочий процесс», а показатель
https://enep-home.ru/2026/04/13/%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2-%d0%bc%d0%b5%d1%81%d1%81%d0%b5%d0%bd%d0%b4%d0%b6%d0%b5%d1%80%d0%b5-max/

#BugBounty #IDOR #MAX #безопасность #мессенджер #уязвимость

How I Found a Critical IDOR Leading to Account Takeover in Two EdTech Platforms
The vulnerability was an Insecure Direct Object Reference (IDOR) in two EdTech platforms, allowing account takeover through user profile manipulation. The flaw resulted from improper input validation, leading to user profiles being accessible via URL parameters. By constructing carefully crafted URLs containing other users' IDs, the researcher accessed their profiles without proper authentication. The attack vector involved using Burp Suite's Intruder tool to automate IDOR requests, sending payloads with incremental user IDs. The mechanism revolved around the application trusting the provided IDs without verifying their ownership or performing proper authorization checks. This IDOR flaw enabled the researcher to impersonate other users, potentially causing serious account takeovers. The researcher did not disclose specific bounty amounts or program responses. Proper mitigation requires implementing strict input validation and enforcing proper access control checks. Key lesson: Always validate user inputs and enforce proper access control to prevent unauthorized data access. #BugBounty #Cybersecurity #WebSecurity #IDOR #AccountTakeover #InputValidation

https://medium.com/@impyhacker/how-i-found-a-critical-idor-leading-to-account-takeover-in-two-edtech-platforms-44439a66ceb3?source=rss------bug_bounty-5