Из-за некорректной настройки PHP-приложения Symphony (которое работало в режиме отладки и «сливало» логи) у стримингового сервиса Last.fm произошла утечка учетных данных, в ходе которой были раскрыты, в том числе, имя пользователя и пароль администратора. С таким доступом злоумышленник мог получить и изменить данные чужой учетной записи Last.fm.
Проблему обнаружили специалисты компании SecurityDiscovery Себастьян Каул и Боб Дьяченко. Именно они заметили, что веб-приложение раскрывало посторонним «страницу PHPinfo и логи профилировщика с учетными данными». Изучив приложение внимательнее, исследователи также заметили, что логи Symfony Profiler содержат имена пользователей, пароли, а также секретные токены нескольких администраторов.
«Насколько мы поняли, это была часть панели администратора, позволяющая просматривать и редактировать информацию и детали учетных записей пользователей Last.fm», — объясняет Дьяченко.
Исследователь пояснил журналистам Bleeping Computer, что сейчас он с коллегами изучает неправильно настроенные приложения Sympfony и проводит фингерпринтинг с помощью IoT-поисковиков. В рамках этого проекта и были обнаружены экземпляры, принадлежащие CBS Interactive (компании, которая владеет Last.fm).
Еще на прошлой неделе Дьяченко попросил своих подписчиков в Twitter помочь связаться с кем-нибудь в CBS Interactive, чтобы уведомить компанию о проблеме. И хотя ответа от компании исследователь так и не получил, проблема в настоящее время уже устранена.
