Один баг — и Chat-центр пускает в чужие диалоги без пароля
Ошибка в edna затронула российские ресурсы.
Команда СайберОК выявила уязвимость типа IDOR (Insecure Direct Object Reference) в механизмах интеграции Chat-центра от edna. Она позволяет неаутентифицированному пользователю получить несанкционированный доступ к любым чатам, включая переписки с конфиденциальной информацией.
По оценкам, в российском сегменте интернета насчитывается около 100 ресурсов, подверженных этой уязвимости.
Рекомендуется связаться с производителем для устранения проблемы. В официальной документации предлагается использовать защищённые идентификаторы или механизмы RSA/JWT для безопасной передачи данных. Эти меры позволяют свести к минимуму риск компрометации информации.
Ссылки на документацию:
— Установка виджета на сайт (Web)
— Интеграция SDK для Android
— Интеграция SDK для iOS