硬件制造商索泰 (ZOTAC) 日前被爆出存在安全失误,索泰售后系统的安全策略不到位,导致退换货相关的用户敏感信息可以被谷歌爬虫抓取进而出现在谷歌搜索上。暴露的信息包括用户姓名、电话号码、电子邮件地址和收货地址等,这些均为敏感信息,而暴露时间持续多久目前还不清楚。
最初发现该问题的是科技网站 Gamers Nexus,该网站编辑在谷歌上搜索自己的姓名时惊讶的发现自己曾经向索泰提交的售后请求表格可以在谷歌搜索找到并下载。
按照索泰的售后处理流程,用户需要在表格里填写自己的真实信息并上传到索泰的售后服务系统里,这也是这些文件暴露的最初来源。
正常情况下索泰应当对用户上传的文件设置权限,仅有售后团队的成员可以查看这些文件,但索泰在服务器上部署的安全策略存在弱点,导致实际上文件是可以被公开查看和下载的。
除了用户敏感数据外,Gamers Nexus 还发现 Micro Center、iBuyPower 等企业的票据,这些也都属于敏感信息,但因为索泰的安全失误导致票据被公开。
随后该网站立即向索泰以及受影响的其他企业发送安全报告,现在谷歌仍然可以找到索泰售后相关的文件,不过这些文件权限已经被修改无法直接访问。
同时索泰还修改了售后服务的流程,将原本需要用户提交电子表格的上传按钮删除,现在用户必须通过电子邮件发送电子表格避免数据再暴露在互联网上。
蓝点网检索相关关键词发现索泰暴露的文件应该是非常多的,考虑谷歌已经索引几百份,可能还有大量文件并未被索引,攻击者可以通过遍历方式下载所有文件。
暂时索泰没有就该安全事件发布详细的说明,因此还不清楚暴露的文件有多少,但售后请求这类本身应该是非常频繁的,存在安全风险的文件估计几万份都不止。