La vulnerabilidad fue descubierta y comunicada a Pinterest por un investigador de seguridad y permitía a un ciberdelincuente obtener el correo electrónico de cualquier usuario de la red social, reemplazando una cadena de caracteres “me” en una URL de Pinterest por un nombre de usuario o ID.

A partir de ahí, los piratas informáticos podían realizar ataques haciéndose pasar por oficiales Pinterest con el peligro que conlleva para phishing u otros.

Lo importante del caso ha sido la muestra de que la colaboración entre investigadores de seguridad y las compañías funciona, además de resaltar la rapidez de Pinterest para parchear el agujero de seguridad.

El investigador ya descubrió este tipo de vulnerabilidad en el sitio StumbleUpon, siendo capaz de obtener nombre completo, dirección de correo electrónico, edad, sexo y ubicación de sus usuarios. Contrariamente al caso de Pinterest, la firma no dio permiso para revelar la vulnerabilidad incluso después de ser parcheada.

Te dejamos con la prueba de concepto del agujero en Pinterest:

Fuente: muyseguridad