O Spoutible, um dos vários candidatos a novo Twitter criados após a aquisição do hoje X por Elon Musk, tinha uma falha básica na API que permitia o acesso não autorizado a qualquer conta no serviço.
O QUE HOUVE? Chamadas à API do Spoutible retornavam mais dados do que deveria. Entre os dados estavam número de telefone, endereço IP e gênero.
Além disso, havia dados que permitiam o acesso não autorizado a qualquer conta, como um que redefine a senha por e-mail e o segredo do segundo fator de autenticação.
Os dados de 207 mil contas foram raspados e enviados ao pesquisador Troy Hunt. A brecha na API foi corrigida quatro horas após Troy comunicar o fundador do Spoutible do problema.
Via Troy Hunt (em inglês).
