15-летний разработчик рассказал, что нашёл ошибку в сервисе Zendesk, которая позволяла хакерам просматривать тикеты службы поддержки клиентов сервиса.
При этом, как утверждает разработчик, представители Zendesk дважды отказались выплачивать вознаграждение.Для доступа к чужим тикетам надо было отправить специально созданное письмо на электронный адрес службы поддержки, которая работает с помощью Zendesk.
Оказалось, что у сервиса не было системы защиты от подмены электронной почты. Таким образом злоумышленники могли получить доступ к тикетам любой компании, которая пользуется услугами Zendesk.
Читать на habr.com