Utilizo un servicio para mejorar mi inglés que incluye autenticación para usuarios, tiene una función para enviar correos electrónicos para algunos tipos de ejercicios nuevos. Me sorprendió cuando vi la URL de los correos electrónicos:
https://puzzle-english.com/video/arnold_openspace?autologin_key=*long_hash*&user_email=*my_email*&expire=1533573237&pes=email_letter_every_day
autologin_key es diferente para todos los correos electrónicos. Si lo consigo de la manera correcta, esta URL le permite a cualquier persona iniciar sesión en mi cuenta sin siquiera saber la contraseña.
¿Es esta una vulnerabilidad potencial?
UPD: esta clave permite el acceso total a mi cuenta, incluido el cambio de información personal, como el correo electrónico y la contraseña (hará que sea imposible recuperar el acceso para mí).