من حساب عادي إلى وصول غير محدود للذكاء الأصطناعي وتسريب البيانات !!

تسريب بيانات تسجيل دخول داخلية لخدمة ذكاء اصطناعي يتيح توليد صور غير محدود مجانًا خارج الموقع

فكرة الموقع:

هو موقع تواصل اجتماعي مدفوع، أحد الخصائص الموجودة في الموقع هي "مختبرات المبدعين" أو Creator Labs، والتي تحتوي على أدوات تعتمد على الذكاء الاصطناعي مثل SuperLook AI.

وSuperLook AI هي خدمة تابعة لجهة خارجية (طرف ثالث) متخصصة بإنشاء صور شخصية محسّنة باستخدام الذكاء الاصطناعي. المفروض أن المستخدمين يدخلون إليها عن طريق الموقع الاساسي فقط، ويحصلون على عدد محدود من الصور (5 فقط).

لكن المشكلة كانت أن الموقع يقوم بإرسال بيانات تسجيل الدخول الخاصة بحساب داخلي (admin أو system) بشكل مكشوف عبر الإنترنت، مما يسمح لأي شخص بالدخول إلى SuperLook AI مباشرة، والاستفادة من الخدمة بشكل غير محدود ومجاني!

خطوات إعادة الاستغلال (Step-by-Step)

تسجيل الحساب بالموقع
من داخل الحساب، اذهب إلى قسم Creator Labs.

اختر أي خدمة داخل هذا القسم، مثل "Change Your Look".
افتح أداة Burp Suite (أو أي أداة اعتراض طلبات مثل Fiddler).
راقب الطلبات المرسلة، وستلاحظ طلب إرسال إلى:

POST https://api.superlook.ai/api/v1/auth/login

وفي جسم الطلب (Request Body) ستجد بيانات دخول واضحة:

   {
      "email": "Site@external.api",
      "password": "(secret)"
    }

الآن، استخدم هذه البيانات لتسجيل الدخول مباشرة إلى app.superlook.ai.
بعد الدخول، تلاحظ أن الحساب يمتلك رصيدًا ضخمًا لتوليد الصور: 24,979,273 صورة مجانية!

النتيجة:

وصول غير مصرح به.
استخدام خدمة مدفوعة مجانًا.
تجاوز حدود الاستخدام المفروضة على المستخدم العادي.

التأثير (Impact):

استخدام خدمة SuperLook AI بشكل مجاني وغير محدود.
استهلاك موارد الشركة (كالخوادم ووقت المعالجة).
إمكانية إساءة استخدام الخدمة من قبل أطراف خبيثة.
احتمال عرض أو الوصول إلى صور مخزّنة داخل قسم "Favorites"، والتي قد تحتوي على صور خاصة أو حساسة تم توليدها سابقًا.

نصائح للمبتدئين: