在 LEGO® Group 旗下的乐高转售平台中发现了应用程序编程接口 (API) 安全漏洞,这可能会使敏感的客户信息面临风险。
日前,Salt Security 研究团队 Salt Labs 进行的一项调查,发现BrickLink中存在两个API安全漏洞,BrickLink 是一个买卖乐高零件、人仔和套装的在线市场,拥有超过一百万的会员。
研究人员表示,这些漏洞可能使威胁行为者能够对客户账户进行大规模账户接管 (ATO) 攻击,访问平台存储的个人身份信息 (PII) 用户数据,并获得对内部生产数据的访问权限,从而可能导致完全妥协 BrickLink 的内部服务器。
Salt Security 研究副总裁 Yaniv Balmas 在 Black Hat Europe 2022 期间对Infosecurity Magazine 发表讲话时解释说:“我们在那里发现的东西使该系统的每个用户都处于危险之中——我们可能会访问用户存储的所有信息,包括个人信息数据和信用卡详细信息。”[阅读原文]
还没有评论,来说两句吧...