Lowe’s Market连锁店客户数据可能已泄露
位于美国的Lowe’s Market杂货连锁店拥有的网站配置错误可能会让威胁行为者获得对其系统的控制权。
2月7日,Cybernews 研究团队在Lowe’s Market网站上发现了一个配置错误。这家连锁超市的网站正在泄露私人凭证的宝库,这使该公司容易受到网络犯罪分子的潜在攻击。
总之,被泄露的凭据可能使不道德的黑客能够控制大部分在线商店的功能,查看敏感的客户信息,并滥用对付费服务的访问权限,同时将Lowe’s Market客户置于风险之中。
Lowe’s连锁店拥有近150个地点,主要在德克萨斯州、新墨西哥州、科罗拉多州、亚利桑那州和堪萨斯州经营商店。
在撰写本文时,该公司已经解决了这个问题。Cybernews就错误配置的细节和可能的数据泄露持续时间联系了劳氏市场。不过,该公司尚未对询问作出回应。
访问数据库
研究人员在Lowe’s Market网站上发现了一个可公开访问的环境文件(.env)。对该文件的公开访问对公司系统的安全构成了风险,因为它正在泄露敏感数据和大量凭据。
对环境文件的检查表明,开发人员没有遵循最佳实践,而糟糕的安全配置可能导致更多的秘密被暴露,这是一个行业术语,指的是应该保密的重要数据。
泄露的秘密可能允许威胁行为者访问数据库,因为主要、跟踪、遗留、配方和redis.io数据库的主机、用户名和端口被暴露。
数据库主机和凭据被视为敏感信息,因为它们用于访问相应的数据库及其内容。就Lowe’s Market而言,大多数数据库主机都连接到互联网,这使得威胁行为者特别容易访问它们。
由于法律原因,无法检查数据库的内容,但标题表明其中一些包含有关产品的信息,例如食谱,而另一些可能包含客户使用数据。
至少有一个数据库可能包含用户信息,因为该公司对在线杂货店购买的支持有限。遗留数据库中的一个标题包含“账单”一词,导致研究人员假设它可能包含私人用户数据。
环境文件还揭示了Amazon Web Services(AWS) S3服务器的访问密钥和存储桶名称。此信息可能已用于登录和访问存储桶及其内容,以及修改或删除现有数据。
虽然AWS S3存储桶可能存储了敏感信息,但根据其名称,研究人员认为它只存储了与网站相关的资产。
Cybernews研究员Aras Nazarovas说:“这个桶很可能只存储了网站使用的图像和类似的非敏感资产。”
“它也可能包含敏感信息,因为我们看到过一些这样的案例,但在这个特殊案例中没有办法知道。”
被发现的钥匙宝库
.env文件包含许多专用于特定网站功能的应用程序编程接口(API)密钥。恶意行为者可能会使用泄露的API密钥和凭据窃取用户信息、更改产品定价并劫持商店的大部分功能。
其中一个泄露的密钥,GrocerKey API,允许访问部分信用卡信息、地址和最高消费用户,以及发送未经请求的订单、发放退款、启动广告活动、重置密码和店内检查的能力和应用内余额。
允许查询用户信息的REST API密钥也被泄露,这可能允许威胁行为者将其与GrocerKey API一起使用,以进行未经授权的在线购买。
其他一些泄露的密钥可能使威胁行为者能够使用公司的官方通信渠道在各种平台上发送恶意消息。
例如,网络罪犯可能使用泄露的Campaign Monitor、Pushwoosh、Loyalty Lane和Postmark API密钥向Lowe’s Market用户发送电子邮件、应用程序通知和SMS消息。此外,攻击者可能使用泄露的Inmar API密钥和凭据来制作具有大幅折扣的定制优惠券。
最后,暴露的Geocoder API密钥可能允许威胁行为者访问公司的Google Maps API。因此,恶意行为者可以利用该密钥使用此访问权谋取私利,从而导致使用量增加,从而导致公司负责支付的费用更高。
这是因为通过Geocoder API发送到Google Maps的每个请求都会向作为该帐户合法所有者的公司收费。
Nazarovas说:“无法获取敏感信息,唯一可能的滥用是通过API发送请求,或者向API发送大量请求,达到帐户限速的程度,从而影响网站显示地图的能力。” .
接管Facebook应用程序
除了API密钥,环境文件还公开了Facebook OAuth凭据和Github OAuth令牌。
使用泄露的Facebook应用程序 ID 和密钥,攻击者可以从Facebook请求敏感的用户数据或接管Lowe’s Market的Facebook 应用程序,从而对用户隐私和安全造成严重后果。
泄露GitHub OAuth令牌等敏感信息可能很危险,因为它可以提供对用户Github帐户及其包含的存储库的未授权访问。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5151.html
