Dan Melamed ontdekte dat er een kwetsbaarheid zat in de API van Pinterest. Hierdoor kon hij heel eenvoudig het e-mailadres van elke Pinterest-gebruiker achterhalen. Dat meldde Melamed op zijn blog.

Melamed bracht het sociale netwerk op de hoogte en Pinterest heeft het lek ondertussen gedicht. Nadat de kwetsbaarheid aangepakt was, gaf Pinterest Dan Melamed de toestemming om het gevonden lek bekend te maken.

Het gevolg had desastreus kunnen zijn. Hackers hadden een bot kunnen gebruiken om zo alle e-mailadressen te achterhalen.

De security-blogger heeft een videofragment gemaakt om te tonen hoe de exploit precies werkte.

Het beveiligingsteam van Pinterest heeft Dan Melamed opgenomen in de Pinterest Heroes List. In deze beperkte lijst zitten tot nog toe drie personen die Pinterest hebben verbeterd.

Dan Melamed vond een tijdje geleden een gelijkaardig lek in StumbleUpon. Bij deze dienst kon Melamed de volledige naam, het e-mailadres, het geslacht, de leeftijd en locatie van elke StumbleUpon-gebruiker zien. Ook toen meldde Melamed het lek, maar hij kreeg nooit de toestemming om de exploit te openbaren.