Nike旗下網站被爆有漏洞遲未修補，可能外洩密碼等敏感資訊

運動用品大廠Nike旗下的特定網站爆出可能洩露密碼的安全漏洞數個月還不修補，安全研究人員於是本周向媒體公開此事。Nike表示，該網站僅為測試用途，並與Nike.com主網站是切開的，沒有資料外洩疑慮，目前該站也已下線並進行調查。
 
安全研究人員Corben Leo發現Nike旗下MyNikeTeam.com網站存在一個XML外部實體（Out-of-band XML external entities，OOB-XXE）攻擊漏洞，出現在網站解析XML檔案的過程中，可能曝露伺服器上包括密碼等機密資訊，進而讓駭客發動遠端程式碼執行，或存取Nike內部網路上其他重要系統或資料庫。Leo撰寫了10幾行Python程式碼，即得以從Nike.com子網域將伺服器資料傳送到他設立的外部FTP伺服器。
 
研究人員去年底發現並通報Nike此一漏洞，苦候三個月未得到對方回應後遂向ZDNet揭露此事。ZDNet引述第三方安全專家表示，Leo發現的OOB-XXE漏洞屬於重大安全問題。
 
Nike擁有廣大消費者資料，此外近年穿戴式運動量測商品大行其道，Nike也推出了可量測並上傳心率、體溫的產品如智慧腕帶、智慧跑鞋等，這也使得Nike得以累積消費者的隱私資料。
 
Nike對ZDNet表示，研究人員所指的網站僅是一個幾個月前才啟用的測試網站，主要是提供批發客戶使用，非一般消費者，而且代管該網站的伺服器與Nike.com主網站是切開的。雖然使用者可以Nike.com的帳密登入該站，但其網站採用微服務架構，而且具嚴謹的伺服器設定，因此使用者資料並未受到該漏洞影響。目前Nike已經將該網站下線並進行調查。