因配置错误,法国汉堡王网站敏感数据遭泄露!

近日,Cybernews研究团队发现,法国的汉堡王由于网站配置错误而向公众泄露了敏感信息。汉堡王作为美国著名的国际快餐巨头,在全球拥有超过1.9万家餐厅,收入18亿美元。

创新互联建站坚持“要么做到,要么别承诺”的工作理念,服务领域包括:网站建设、做网站、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的和静网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!

这些泄露的信息一旦落入恶意行为者手中,则会成为其对汉堡王连锁店实施网络攻击的工具。由于此次遭遇信息泄露的是求职网站,因此那些在法国汉堡王求职的人可能会受到影响。

事实上这已经不是汉堡王第一次泄露敏感数据了。据报道,早在2019年汉堡王就曾因为配置错误,导致法国分店泄露了购买汉堡王的儿童个人身份信息(PII)。

Cybernews联系了该公司,该公司称已经解决了这个问题。

可公开访问的凭证

2023 年 6 月 1 日,Cybernews 研究小组发现了一个属于汉堡王法国网站的可公开访问的环境文件(.env),其中包含各种凭证,该文件托管在用于发布招聘信息的子域上。

虽然泄露的数据本身不足以完全控制该网站,但它可以大大简化攻击者的潜在接管过程,特别是当他们还能够识别其他易受攻击的端点时。

除其他敏感数据外,该文件还包含一个数据库的凭证。虽然由于法律原因,研究人员无法检查数据库中到底存储了什么内容,但其中很可能有求职者输入的职位信息和其他个人数据。

数据库凭据的暴露是十分危险的,因为恶意行为者可以利用这些凭据连接到数据库,然后读取或修改其中存储的数据。如果威胁行为者能够发现并利用网站中的任意 PHP 代码执行漏洞,.env 中的凭据就可以更容易、更隐蔽地提取 MySQL 数据库。

研究小组观察到的另一项敏感信息包括 Google Tag Manager ID。Google 标签管理器是一种用于优化更新网站或移动应用程序上的测量代码和相关代码片段(统称为标签)的工具。Google 标签管理器 ID 指定了网站应使用的标签管理器容器。

攻击者一旦获取到这些凭据,并将其与网站上的其他漏洞点相结合,就有可能将标签 ID 更改为自己容器的 ID。然后他们就能在网站上执行任意的 JavaScript 代码。

破坏网站指标

研究人员还发现了一个 Google Analytics ID,其专门用于确定哪些流量应被记录并发送到相关的 Google Analytics 账户。

攻击者可以利用这些泄露的数据在自己控制的网站上设置 ID,然后那些自动生成的流量会使相关的 Google Analytics 账户不堪重负,从而在攻击期间对网站的性能分析造成严重破坏。

标题名称:因配置错误,法国汉堡王网站敏感数据遭泄露!
本文来源:http://www.shufengxianlan.com/qtweb/news35/485685.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联