因配置错误,法国汉堡王网站敏感数据遭泄密!
发布时间:2023-08-10 13:38:32 所属栏目:安全 来源:
导读:最近,根据 Cybernews 研究小组报道称,法国汉堡王的官方网站因为设计失误而导致私密数据公开。汉堡王作为美国著名的国际快餐巨头,在全球拥有超过1.9万家餐厅,收入18亿美元。
这些泄露的信息一旦落入恶意行为者
这些泄露的信息一旦落入恶意行为者
|
最近,根据 Cybernews 研究小组报道称,法国汉堡王的官方网站因为设计失误而导致私密数据公开。汉堡王作为美国著名的国际快餐巨头,在全球拥有超过1.9万家餐厅,收入18亿美元。 这些泄露的信息一旦落入恶意行为者手中,则会成为其对汉堡王连锁店实施网络攻击的工具。由于此次遭遇信息泄露的是求职网站,因此那些在法国汉堡王求职的人可能会受到影响。 事实上这已经不是汉堡王第一次泄露敏感数据了。据报道,早在2019年汉堡王就曾因为配置错误,导致法国分店泄露了购买汉堡王的儿童个人身份信息(PII)。 Cybernews联系了该公司,该公司称已经解决了这个问题。 可公开访问的凭证 2023 年 6 月 1 日,Cybernews 研究小组发现了一个属于汉堡王法国网站的可公开访问的环境文件(.env),其中包含各种凭证,该文件托管在用于发布招聘信息的子域上。 虽然泄露的数据本身不足以完全控制该网站,但它可以大大简化攻击者的潜在接管过程,特别是当他们还能够识别其他易受攻击的端点时。 除其他敏感数据外,该文件还包含一个数据库的凭证。虽然由于法律原因,研究人员无法检查数据库中到底存储了什么内容,但其中很可能有求职者输入的职位信息和其他个人数据。 数据库凭据的暴露是十分危险的,因为恶意行为者可以利用这些凭据连接到数据库,然后读取或修改其中存储的数据。 倘若威胁者能发掘与运用该网站上存在的任一PHP编程漏洞的话,则其可以更加轻易和隐秘的获取 .env文件中所含有的MySQL凭设定径。 研究小组观察到的另一项敏感信息包括 Google Tag Manager ID。Google 标签管理器是一种用于优化更新网站或移动应用程序上的测量代码和相关代码片段(统称为标签)的工具。Google 标签管理器 ID 指定了网站应使用的标签管理器容器。 攻击者一旦获取到这些凭据,并将其与网站上的其他漏洞点相结合,就有可能将标签 ID 更改为自己容器的 ID。然后他们就能在网站上执行任意的 JavaScript 代码。 研究人员还发现了一个 Google Analytics ID,其专门用于确定哪些流量应被记录并发送到相关的 Google Analytics 账户。 攻击者可以利用这些泄露的数据在自己控制的网站上设置 ID,然后那些自动生成的流量会使相关的 Google Analytics 账户不堪重负,从而在攻击期间对网站的性能分析造成严重破坏。这种情况通常发生在一些大型企业的服务器上,例如谷歌、亚马逊和微软。如果你的公司有这样的问题,请立即联系你的安全专家。 (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
