Приложение Clinkle взломано еще до официального запуска

Невидимое платежное приложение Clinkle, анонс которого взбудоражил общественность, оказалось самым нерентабельным проектом последних лет. Так, система, разработчики которой получили от инвесторов $30 млн, была взломана еще до официального релиза.

Хакер, получивший доступ к базе данных, выложил скомпрометированный список на ресурсе Pastebin. В результате огласке преданы логины, идентификационные номера, фото профилей и телефонные номера 33 пользователей. Учитывая, что в списке значатся данные создателя Clinkle и других топ-менеджеров проекта, аналитики считают, что хакерам удалось взломать базу данных, в которой хранилась информация о бета-тестировании новинки и тех, кто принимал в нем участие.

По данным экспертов, для взлома злоумышленники использовали частные API, являющиеся частью инструмента автозаполнения. К примеру, если пользователь вводит букву «А», система выводит список всех пользователей, ник которых в системе начинается с нее.

По словам хакера, взломавшего базу Clinkle, используемый интерфейс API не требует аутентификации пользователя. «Приложение записывает данные на диск автоматически, это даже хуже, чем в ситуации со Snapchat», - заявил киберпреступник в своем сообщении на Pastebin, отметив, что номера телефонов зашифровал «из вежливости».

Комментируя инцидент, разработчики Clinkle заявили, что доступ к приложению был у узкого круга сотрудников и в настоящий момент скомпрометированная API не используется.