研究人员IanCarroll、GalNagli和SamCurry通过该漏洞,他们成功访问了赛道上每一位F1车手的个人身份信息。幸运的是,目前没有证据表明有不法分子利用此漏洞窃取数据,并且该缺陷现已被修复。亚汇网援引博文介绍,此次安全事件的突破口是国际汽联的车手分级网站。由于车手每年都需通过该网站更新用以参赛的超级驾照,因此该门户网站是公开的,任何人都可以申请账户。研究人员正是利用了这一点,创建了自己的驾照账户。在更新个人资料时,他们发现服务器返回的信息超出了他们输入的内容。例如,当编辑姓名和邮箱时,服务器不仅会返回这些信息,还会额外发回出生日期和一个关键字段——“角色”(role)。这个“角色”字段代表了账户的访问权限,如“车手”、“FIA员工”或“管理员”。于是,研究人员利用一个名为“大规模分配”(MassAssignment)的常见API漏洞,在更新个人信息的请求中,简单地将自己的角色修改为了“admin”(管理员),从而轻易获得了系统的最高权限。获得管理员权限后,研究人员可以访问系统内的一切数据。这不仅包括所有F1车手的驾照申请资料,还包括他们上传的护照、个人联系方式等高度敏感的文件。更为严重的是,他们甚至能看到国际汽联内部关于驾照审批决策的通信记录,整个系统的核心数据完全暴露无遗。国际汽联的一位发言人对此事件回应称,他们在夏季已意识到该网站存在网络安全事件,并立即采取措施保护车手数据,同时按照规定向相关数据保护机构进行了报告,并通知了少数受影响的车手。图源:F1官网广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
免责声明:本文章仅代表作者个人观点,不代表亚汇网立场,亚汇网仅提供信息展示平台。
更多行情分析及广告投放合作加微信: hollowandy
