Flickr: Angreifer konnten Fotos in fremde Accounts hochladen
Flickr erlaubt es Nutzern, neue Bilder durch das Senden an eine nutzerspezifische Flickr-Email-Adresse hochzuladen. Der Highschool-Schüler Jazzy hat nun auf seinem Blog eine Möglichkeit dargelegt, diese Funktion zu missbrauchen.
So fand der Blogger heraus, dass diese E-Mail-Adresse immer nach dem gleichen Muster aufgebaut ist und aus zwei Wörtern und einer dazwischengestellten Zahl im Bereich von 0 bis 100 besteht. Dabei konnte Jazzy zeigen, dass das Wörterbuch aus lediglich 935 Einträgen besteht, wodurch sich rund 87,5 Millionen Kombinationen ergeben.
Zwar hat Flickr aktuell rund 50 Millionen Nutzer, da eine solche Adresse allerdings nur bei Aktivierung des E-Mail-Uploads generiert wird, dürfte sich zwar keine fünfzigprozentige, allerdings recht hohe Wahrscheinlichkeit ergeben, beim Versand an eine zufällige Flickr-Mail-Adresse auf einen fremden Account hochzuladen.
Flickr hat die Lücke durch das Einfügen weiterer zufälliger Elemente in die Adresse bereits entschärft und dem Entdecker als Belohnung 4.000 US-Dollar zukommen lassen.