Why X-FRAME-OPTIONS matters on API endpoints As a security researcher, I try to identify area’s of potential abuse before bad people do. Once in a while, you stumble upon an attack scenario that is so incredibly stupid yet genius at the same time, that it deserves a name and a…

Being a bug bounty hunter, I face a lot of competition. Lots of companies are willing to issue rewards for vulnerabilities in their systems, but only if they haven’t been reported by someone else. If you want to beat the odds of finding duplicates, you better look for bugs in…

Last night, a member of British parliament released hundreds of pages of internal Facebook e-mails. The documents shine a light on Facebook’s aggressive growth strategy and its willingness to sacrifice its user’s privacy over business decisions. As a security researcher, I am deeply saddened yet not surprised by the recent…

Eerder dit jaar pakte Burger King uit met de allereerste interactieve story op Instagram. In een reeks polls konden de volgers van de hamburgerketen hun persoonlijke burger samenstellen. Meteen daarna kreeg je als deelnemer een privé-bericht (DM) met een unieke code waarmee je je creatie kon afhalen in een restaurant.

Ever took a personality test on Facebook? For years, anyone could have accessed your private information, friends, posts and photos. Nametests.com, the website behind the quizzes, recently fixed a flaw that publicly exposed information of their more than 120 million monthly users — even after they deleted the app. …

Vorig jaar konden we via Instagram achterhalen dat Lize en Ken uit Temptation Island een stelletje vormden. Ze werden door VIJF en RTL5 snel op de vingers getikt, want contractueel mogen ze tussen opnames en de laatste uitzending niet samen gezien worden. Ook niet op sociale media. VIJF lijkt dit…

UPDATE: The Next Web wrote a story about my findings: https://thenextweb.com/security/2017/09/21/ticket-trick-see-hackers-gain-unauthorized-access-slack-teams-exploiting-issue-trackers/ Introduction Months ago I discovered a flaw hackers can use to access a company’s internal communications. The flaw only takes a couple of clicks to potentially access intranets, social media accounts such as Twitter, and most commonly Yammer and Slack…

We houden allemaal van dingen waar onze naam op staat. Souvernirwinkeltjes puilen uit van de sleutelhangers, drinkbekers en sieraden met onze voornamen op. Nutella en Coca Cola hebben die voorliefde ook goed begrepen en verwerken daarom al jaren voornamen in hun verpakkingen. Naar de mijne blijft het voorlopig zoeken.

Don’t have the time to read the entire article? Go to the FAQ section below for everything you should know. Update: someone pointed out that PayPal actually reveals the last four digits of the phone numbers, so this technique may work for large countries as well if the target has…