库存Hive Bug提供了内部和外部属性图像,以及成员的联系方式
物业库存服务库存Hive网站上的一个漏洞正在泄beplay体育能用吗露会员的个人信息,包括其姓名和地址以及内部和外部属性图像。
根据发现该问题的安全研究人员的说法脆弱性不仅为“数十万”用户的房屋提供了潜在的盗窃案,而且还提供了一个现成的物业所包含的物品的“购物清单”。
研究人员Marco Menozzi告诉每日swbeplay2018官网ig。
“这包括用户的详细信息(名称,地址);公寓内用户商品的列表/图片;入口锁的详细高分辨率图片;和房屋入侵警报的图片。”
盘点
在最近的电子邮件交流中,Menozzi解释了他如何偶然发现了这个问题,因为他自己的个人数据位于库存Hive网站上。beplay体育能用吗
他解释说:“访问我的特定属性报告页面,我发现,通过将令牌更改为无效的内容,我仍然能够访问报告页面。”
“然后,我试图将URL中的报告ID更改为另一个,令我惊讶的是,我可以使用他所有敏感数据访问另一个用户报告页面。”
研究人员补充说:“更糟糕的是,URL中的报告ID是一个简单的顺序编号/ID,从'0'到当前用户报告号。
“因此,我可以访问整个英国的成千上万的报告/用户敏感数据。”
令牌安全性
回答来自每日swbeplay2018官网ig本周,库存Hive发言人说:“我们确实知道了一个脆弱性……这是尽快修复的。”
在一个安全咨询周一(6月8日)发行英国基于基于的房地产库存公司确认,该漏洞可以使未经认可的用户可以查看完整报告的画廊部分。
该公司解释说:“漏洞是由于缺少对身份验证令牌的检查而引起的,只要存在一个令牌,就无法正确检查它。”
快速修复提示提示漏洞赏金启动
尽管库存Hive Platform Bug可能对用户的隐私产生了重大影响,但Menozzi赞扬该公司扭转了快速解决方案。
他说:“幸运的是,在[] 30分钟之后,我将问题解决了。”
此外,在此披露之后,库存Hive表示,现在正在寻找提高其平台安全性的新方法。这包括设置新的错误赏金通过Bugcrowd进行程序。
该公司表示:“我们知道,这是我们遇到的一个新问题,并且正在寻找可以改善预防,检测和报告此类咨询的方法。”
“没有证据表明除了这一报告的事件之外,还存在数据泄露。我们的报告记录可以追溯到此漏洞的起源,并不能在报告事件之外确定任何违规行为。”
库存Hive表示,它已经与英国信息专员办公室保持联系。
库存Hive说:“我们要感谢该人向我们报告该错误,并允许我们快速修复它。”
