hackerone-irccloud-2020-07-h-906907

IDOR with Geolocation data not stripped from images

IDOR를 통해 프로필사진에 접근할 수 있었다. 단순히 이미지에 접근할 수 있다는 것으로 끝내지 않고, 이미지의 메타데이터를 추출해 이미지를 올린 유저의 위치 정보 등을 알아낼 수 있다는 점을 지적했다.

이미지를 의도적으로 Public으로 둔 것이라면 IDOR로 보긴 어렵다. 하지만 의도적으로 Public이라면 이 타겟이 IRCCloud인 만큼 (고객을 프라이버시를 위해서) 메타데이터를 지우는게 맞다. 관련 법안이 있는지는 모르겠다.