Se trata de Allan Jay Dumanhug y ha descubierto un bug que le hubiera permitido editar o incluso eliminar cualquier contenido y artículo publicado en Medium, aprovechando una fallo de la función “Publicaciones” de la plataforma.
Esta función permite al usuario hacer recopilaciones personalizadas y así reunir en una sola página las publicaciones de los blogs de Medium que más le interesan. Pero para agregar dichas publicaciones hay que pedir permiso a los autores, que pueden aprobarlo o no.
Y es ahí donde el hacker encontró el fallo: escribió su propio artículo y al querer incluirlo en su recopilación de temas, descubrió que era posible interceptar la petición HTTP y modificarla para añadir el de otra persona en su lugar.
Medium y Superfeedr unen fuerzas en defensa de la web abierta
Cada post de Medium está identificado con un código único de 12 caracteres. Dumanhug sólo tuvo que remplazar el de su artículo por el del artículo al que quería acceder y se añadió a su lista de publicaciones sin contar con el permiso del autor. A partir de ese momento, podría haber hecho con el contenido lo que quisiera: cambiarlo o directamente borrarlo.
En lugar de eso, notificó a la plataforma del error y ésta le ha recompensado con 350 dólares, aunque él ya ha manifestado que le parecen insuficientes, teniendo en cuenta el daño que él (u otro que lo hubiera descubierto) podrían haber hecho.
Médium por su parte ya ha subsanado el problema y el bug ha sido eliminado. En este enlace (un post en Medium, lógicamente) explica el propio hacker su peripecia.
Vía | Motherboard
