硬件制造商索泰出现安全失误 售后退换货相关的用户敏感信息暴露到网上

最初发现该问题的是科技网站GamersNexus，该网站编辑在谷歌上搜索自己的姓名时惊讶的发现自己曾经向索泰提交的售后请求表格可以在谷歌搜索找到并下载。B73品论天涯网

按照索泰的售后处理流程，用户需要在表格里填写自己的真实信息并上传到索泰的售后服务系统里，这也是这些文件暴露的最初来源。B73品论天涯网

正常情况下索泰应当对用户上传的文件设置权限，仅有售后团队的成员可以查看这些文件，但索泰在服务器上部署的安全策略存在弱点，导致实际上文件是可以被公开查看和下载的。B73品论天涯网

除了用户敏感数据外，GamersNexus还发现MicroCenter、iBuyPower等企业的票据，这些也都属于敏感信息，但因为索泰的安全失误导致票据被公开。B73品论天涯网

随后该网站立即向索泰以及受影响的其他企业发送安全报告，现在谷歌仍然可以找到索泰售后相关的文件，不过这些文件权限已经被修改无法直接访问。B73品论天涯网

同时索泰还修改了售后服务的流程，将原本需要用户提交电子表格的上传按钮删除，现在用户必须通过电子邮件发送电子表格避免数据再暴露在互联网上。B73品论天涯网

蓝点网检索相关关键词发现索泰暴露的文件应该是非常多的，考虑谷歌已经索引几百份，可能还有大量文件并未被索引，攻击者可以通过遍历方式下载所有文件。B73品论天涯网

暂时索泰没有就该安全事件发布详细的说明，因此还不清楚暴露的文件有多少，但售后请求这类本身应该是非常频繁的，存在安全风险的文件估计几万份都不止。B73品论天涯网