La informació exposada inclou: nom d’usuari, noms i cognoms, adreça de correu electrònic, contrasenyes xifrades, número de telèfon, adreça IP, detalls de l’agent d’usuari i tokens de sessió. A més, es van donar a conèixer detalls vinculats a l’autorització de certs administradors, com a identificacions i claus secretes.

“L’exposició dels tokens de sessió representa una amenaça greu, atès que podria permetre que un atacant potencial accedeixi il·lícitament a les sessions dels usuaris sense que calgui cap contrasenya. A més a més, els detalls compromesos d’autorització de l’administrador, inclosos els ID i els secrets, eleven el risc en proporcionar accés no autoritzat a comptes privilegiats, cosa que possiblement comportarà activitats malicioses i control no autoritzat sobre les funcionalitats de la plataforma”,  alerten des de Cybernews.

Els tokens de sessió es podrien fer servir per accedir a la sessió de l’usuari

Els tokens de sessió revelats es podrien fer servir per accedir a la sessió de l’usuari sense introduir-hi la contrasenya. A més a més, els ciberatacants podrien aprofitar les credencials d’administrador filtrades per implementar programari de segrest, fer atacs de pesca i causar altres danys potencialment importants.

Després de l’avís per part dels investigadors, LectureNotes va solucionar el problema en dos dies. Es recomana als usuaris de l’app que modifiquin les seves contrasenyes per altres de més segures.