重大なバグ: 被害者に代わってサインインを拒否し、機密情報を盗む from infosecwriteups.com

Critical Bug: Deny Sign-In & Steal Sensitive Info on Behalf of Victims - infosecwriteups.com

これらすべてを行うのに認証は必要なく、基本的にアカウントの被害者をロックアウトしました。
被害者の IP アドレス、位置情報、デバイス情報は誰でも閲覧できるように公開されます。
これはプライバシーを大きく侵害しました。
被害者に代わって、または被害者に対してこれらのアクションを実行するのに認証者は必要ありませんでした。
特に注目すべき点は、「被害者に代わってユーザーのサインインを拒否し、機密情報を盗むことができる」という点です。