#科技资讯 继华擎后微星也被发现暴露售后用户资料,最早可以追溯到 2017 年,超过 60 万名用户的详细资料可以随便下载。微星售后服务网站并未设置任何访问权限,导致搜索引擎爬虫和任何人都可以直接访问并导出用户资料,目前微星的处理方式直接停止了域名解析,不过部分数据在搜索引擎缓存中任何可以查到。查看全文:https://ourl.co/104934
早前主板制造商华擎被发现泄露大量售后用户的详细资料,其发生原因是华擎并未对服务器相关权限进行设置,以至于搜索引擎爬虫可以直接索引用户提交的售后请求表单,该表单中包含用户的真实姓名、电话号码、详细地址等信息。
现在 MSI 微星也被发现存在完全相同的安全事故,只需要通过特定关键词即可在搜索引擎上找到微星关联的售后服务网站,该网站包含用户提交的各种详细资料。
通过售后服务网站任何人都可以直接下载和导出自 2017 年以来通过微星官网提交售后的用户资料,同样也包含真实姓名、电话号码和详细地址等信息。
经过测试任何人甚至还可以重新提交售后请求、跟踪售后请求的详细信息、访问微星给出的回复以及故障原因等,通过检索这些信息一些知名的游戏主播资料也被暴露。
发现这个问题的还是 YouTube 频道 Gamers Nexus,该频道当时立即通知微星进行处理,微星的处理方式也非常简单粗暴,直接封锁了相关服务器的访问甚至把子域名停止解析。
然而这种方式其实并不能彻底解决问题,因为部分搜索引擎仍然提供缓存,因此还可以通过缓存找到相关售后请求信息进而查看用户的详细资料。
由于该问题最早可以追溯到 2017 年,这意味着超过 60 万名的用户信息已经在互联网上裸奔长达 7 年,更糟糕的是微星的情况比华擎更糟糕,微星的售后系统甚至可以将所有数据导出为 Excel 文件。
同样的无论是微星还是华擎发生的这种安全问题都是非常低级的,因为他们没有为服务器配置相关权限导致搜索引擎以及任何人都能访问,估计这些公司的安全团队都没有仔细检查过公司内部的基础设施权限。
版权声明:
感谢您的阅读,本文由 @山外的鸭子哥 转载或编译,如您需要继续转载此内容请务必以超链接(而非纯文本链接)标注原始来源。原始内容来源:StackDiary