蓝点网
·
继华擎后微星也被发现暴露售后用户资料 超过60万用户资料可以随便下载
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
微星售后服务网站存在安全漏洞,导致超过60万用户的详细资料被随意下载。微星已停止域名解析,但部分数据仍可在搜索引擎缓存中查到。这个问题最早可追溯到2017年,用户信息已在互联网上裸奔7年。微星的售后系统可将数据导出为Excel文件。
🎯
关键要点
- 微星售后服务网站存在安全漏洞,导致超过60万用户的详细资料被随意下载。
- 微星售后服务网站未设置访问权限,搜索引擎爬虫可直接访问用户资料。
- 该问题最早可追溯到2017年,用户信息已在互联网上裸奔7年。
- 微星已停止域名解析,但部分数据仍可在搜索引擎缓存中查到。
- 用户可以通过售后服务网站下载和导出自2017年以来的用户资料,包括真实姓名、电话号码和详细地址。
- 任何人可以重新提交售后请求、跟踪请求详细信息,甚至访问微星的回复和故障原因。
- YouTube频道Gamers Nexus发现该问题并通知微星,微星的处理方式是封锁相关服务器和停止子域名解析。
- 微星的售后系统可将所有数据导出为Excel文件,安全问题比华擎更严重。
- 微星和华擎的安全问题源于未配置服务器权限,导致信息泄露,显示公司安全团队未仔细检查基础设施权限。
➡️
