微软刚刚为自家移动版招聘网站封堵了一个注册用户信息泄露漏洞,以帮大公司追索错误配置部署的MongoDB在线数据库而知名的安全研究人员Chris Vickery发现了这一问题(且与他此前的多个发现类似)。此前,Vickery曾帮MacKeeper找到了泄露超过1300万用户细节的漏洞,该公司在感动之余给还给了他一个职位。
微软、Ritz、万豪等网站均受到了影响。
根据MacKeeper网站上的一篇博客文章,Vickery已经披露了帮助微软确保可通过互联网获取到的MongoDB数据库的安全细节(无需密码且允许攻击者修改内容)。
其中提到的数据库属于Punchkick Interactive(一家移动Web开发公司),微软将移动版招聘网站的开发交给了它。
除了微软,同样的数据库问题还影响到了该公司的许多其它客户,比如万豪和丽思卡尔顿酒店。
攻击者可读取、亦可写入数据库内容。
尽管暴露所有注册用户信息已经很糟糕,但该漏洞更危险的地方却在于能够获得数据库的写入访问权限、插入恶意内容、以及将之嵌入到网站本身。
这种情形可导致经典的“下载型攻击”,因为黑客很容易找到让恶意软件难以被检测到的方法。万幸的是,在Vickery通过邮件告知风险之后,Punchkick在一个小时内就极速修复了它。
[编译自:Soft Pedia]