Artem Moskowsky, ukraiński badacz bezpieczeństwa wykrył podatności CSRF w portalu samoobsługi Samsunga pozwalające na przejęcie konta użytkownika.
O fakcie poinformował portal ZDNet sam hacker, podobną informację podaje też The Register.
Portal https://account.samsung.com/ pozwala zarządzać urządzeniami mobilnymi użytkownika.
Błędy CSRF pozwalały zmienić dane bezpieczeństwa konta (wyłączyć uwierzytelnianie wieloetapowe, zmienić pytanie odzyskiwania hasła) a w rezultacie przejąć konto.
Błędy oczywiście załatano, a hacker otrzymał nagrodę w wysokości 13300 USD.
Przed błędami CSRF stosunkowo łatwo się ustrzec, pojawiają się niezmiernie rzadko, do tego stopnia, że zostały usunięte z listy OWASP Top Ten w 2017 roku.
Jak widać nadal jednak mogą być groźne.