网络第5域

硬件制造商索泰出现安全失误 售后退换货相关的用户敏感信息暴露到网上

字号+作者: 来源:蓝点网 2024-07-08 13:19 评论(创建话题) 收藏成功收藏本文

硬件制造商索泰(ZOTAC)日前被爆出存在安全失误,索泰售后系统的安全策略不到位,导致退换货相关的用户敏感信息可以被谷歌爬虫抓取进而出现在谷歌搜索上。'...

硬件制造商索泰(ZOTAC)日前被爆出存在安全失误,索泰售后系统的安全策略不到位,导致退换货相关的用户敏感信息可以被谷歌爬虫抓取进而出现在谷歌搜索上。暴露的信息包括用户姓名、电话号码、电子邮件地址和收货地址等,这些均为敏感信息,而暴露时间持续多久目前还不清楚。Ghu品论天涯网

Ghu品论天涯网

最初发现该问题的是科技网站GamersNexus,该网站编辑在谷歌上搜索自己的姓名时惊讶的发现自己曾经向索泰提交的售后请求表格可以在谷歌搜索找到并下载。Ghu品论天涯网

按照索泰的售后处理流程,用户需要在表格里填写自己的真实信息并上传到索泰的售后服务系统里,这也是这些文件暴露的最初来源。Ghu品论天涯网

正常情况下索泰应当对用户上传的文件设置权限,仅有售后团队的成员可以查看这些文件,但索泰在服务器上部署的安全策略存在弱点,导致实际上文件是可以被公开查看和下载的。Ghu品论天涯网

除了用户敏感数据外,GamersNexus还发现MicroCenter、iBuyPower等企业的票据,这些也都属于敏感信息,但因为索泰的安全失误导致票据被公开。Ghu品论天涯网

随后该网站立即向索泰以及受影响的其他企业发送安全报告,现在谷歌仍然可以找到索泰售后相关的文件,不过这些文件权限已经被修改无法直接访问。Ghu品论天涯网

同时索泰还修改了售后服务的流程,将原本需要用户提交电子表格的上传按钮删除,现在用户必须通过电子邮件发送电子表格避免数据再暴露在互联网上。Ghu品论天涯网

蓝点网检索相关关键词发现索泰暴露的文件应该是非常多的,考虑谷歌已经索引几百份,可能还有大量文件并未被索引,攻击者可以通过遍历方式下载所有文件。Ghu品论天涯网

暂时索泰没有就该安全事件发布详细的说明,因此还不清楚暴露的文件有多少,但售后请求这类本身应该是非常频繁的,存在安全风险的文件估计几万份都不止。Ghu品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]