LEGO Marketplace曝API漏洞,利用可进行账号接管攻击

阅读量53168

发布时间 : 2022-12-20 10:54:09

在 LEGO® Group 旗下的乐高转售平台中发现了应用程序编程接口 (API) 安全漏洞,这可能会使敏感的客户信息面临风险。

日前,Salt Security 研究团队 Salt Labs 进行的一项调查,发现BrickLink中存在两个API安全漏洞,BrickLink 是一个买卖乐高零件、人仔和套装的在线市场,拥有超过一百万的会员。

研究人员表示,这些漏洞可能使威胁行为者能够对客户账户进行大规模账户接管 (ATO) 攻击,访问平台存储的个人身份信息 (PII) 用户数据,并获得对内部生产数据的访问权限,从而可能导致完全妥协 BrickLink 的内部服务器。

Salt Security 研究副总裁 Yaniv Balmas 在 Black Hat Europe 2022 期间对Infosecurity Magazine 发表讲话时解释说:“我们在那里发现的东西使该系统的每个用户都处于危险之中——我们可能会访问用户存储的所有信息,包括个人信息数据和信用卡详细信息。”[阅读原文]

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66