Hackathon der Universität Toronto: Zufällige Entdeckung einer Sicherheitslücke
Ein Student der Universität Toronto entdeckte bei der Anmeldung zum GenAI Genesis 2025 Hackathon zufällig eine Sicherheitslücke. Nachdem er sein Passwort zurückgesetzt hatte (sein Passwort-Manager hatte es nicht gespeichert), bemerkte er, dass der Zurücksetzungslink auf eine Firebase-App verweist. Neugierig testete er einige gängige Firebase-Exploitation-Techniken. Er stellte fest, dass die Website den Bewerbungsstatus aktualisiert, indem sie das gesamte Bewerbungs-Objekt schreibt, nicht nur die notwendigen Felder. Durch die Ausnutzung dieser Lücke konnte er seinen Bewerbungsstatus erfolgreich auf „angenommen“ ändern. Er entdeckte außerdem eine Informationsleck-Sicherheitslücke, die den frühzeitigen Zugriff auf die Prüfergebnisse, die Informationen des Prüfers und Kommentare ermöglichte. Die Sicherheitslücke wurde inzwischen behoben.
Mehr lesen