手机推荐排行榜,好看的历史书籍推荐,盗墓笔记全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

因配置錯誤，法國漢堡王網(wǎng)站敏感數(shù)據(jù)遭泄露！

近日，Cybernews研究團隊發(fā)現(xiàn)，法國的漢堡王由于網(wǎng)站配置錯誤而向公眾泄露了敏感信息。漢堡王作為美國著名的國際快餐巨頭，在全球擁有超過1.9萬家餐廳，收入18億美元。

創(chuàng)新互聯(lián)建站堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：網(wǎng)站建設(shè)、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的和靜網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

這些泄露的信息一旦落入惡意行為者手中，則會成為其對漢堡王連鎖店實施網(wǎng)絡(luò)攻擊的工具。由于此次遭遇信息泄露的是求職網(wǎng)站，因此那些在法國漢堡王求職的人可能會受到影響。

事實上這已經(jīng)不是漢堡王第一次泄露敏感數(shù)據(jù)了。據(jù)報道，早在2019年漢堡王就曾因為配置錯誤，導(dǎo)致法國分店泄露了購買漢堡王的兒童個人身份信息(PII)。

Cybernews聯(lián)系了該公司，該公司稱已經(jīng)解決了這個問題。

可公開訪問的憑證

2023 年 6 月 1 日，Cybernews 研究小組發(fā)現(xiàn)了一個屬于漢堡王法國網(wǎng)站的可公開訪問的環(huán)境文件（.env），其中包含各種憑證，該文件托管在用于發(fā)布招聘信息的子域上。

雖然泄露的數(shù)據(jù)本身不足以完全控制該網(wǎng)站，但它可以大大簡化攻擊者的潛在接管過程，特別是當他們還能夠識別其他易受攻擊的端點時。

除其他敏感數(shù)據(jù)外，該文件還包含一個數(shù)據(jù)庫的憑證。雖然由于法律原因，研究人員無法檢查數(shù)據(jù)庫中到底存儲了什么內(nèi)容，但其中很可能有求職者輸入的職位信息和其他個人數(shù)據(jù)。

數(shù)據(jù)庫憑據(jù)的暴露是十分危險的，因為惡意行為者可以利用這些憑據(jù)連接到數(shù)據(jù)庫，然后讀取或修改其中存儲的數(shù)據(jù)。如果威脅行為者能夠發(fā)現(xiàn)并利用網(wǎng)站中的任意 PHP 代碼執(zhí)行漏洞，.env 中的憑據(jù)就可以更容易、更隱蔽地提取 MySQL 數(shù)據(jù)庫。

研究小組觀察到的另一項敏感信息包括 Google Tag Manager ID。Google 標簽管理器是一種用于優(yōu)化更新網(wǎng)站或移動應(yīng)用程序上的測量代碼和相關(guān)代碼片段（統(tǒng)稱為標簽）的工具。Google 標簽管理器 ID 指定了網(wǎng)站應(yīng)使用的標簽管理器容器。

攻擊者一旦獲取到這些憑據(jù)，并將其與網(wǎng)站上的其他漏洞點相結(jié)合，就有可能將標簽 ID 更改為自己容器的 ID。然后他們就能在網(wǎng)站上執(zhí)行任意的 JavaScript 代碼。

破壞網(wǎng)站指標

研究人員還發(fā)現(xiàn)了一個 Google Analytics ID，其專門用于確定哪些流量應(yīng)被記錄并發(fā)送到相關(guān)的 Google Analytics 賬戶。

攻擊者可以利用這些泄露的數(shù)據(jù)在自己控制的網(wǎng)站上設(shè)置 ID，然后那些自動生成的流量會使相關(guān)的 Google Analytics 賬戶不堪重負，從而在攻擊期間對網(wǎng)站的性能分析造成嚴重破壞。

新聞名稱：因配置錯誤，法國漢堡王網(wǎng)站敏感數(shù)據(jù)遭泄露！
本文URL：http://m.fisionsoft.com.cn/article/coocopc.html

新聞中心

可公開訪問的憑證

破壞網(wǎng)站指標

其他資訊