示意圖,與新聞事件無關。

圖片來源: 

Nike

運動用品大廠Nike旗下的特定網站爆出可能洩露密碼的安全漏洞數個月還不修補,安全研究人員於是本周向媒體公開此事。Nike表示,該網站僅為測試用途,並與Nike.com主網站是切開的,沒有資料外洩疑慮,目前該站也已下線並進行調查。
 
安全研究人員Corben Leo發現Nike旗下MyNikeTeam.com網站存在一個XML外部實體(Out-of-band XML external entities,OOB-XXE)攻擊漏洞,出現在網站解析XML檔案的過程中,可能曝露伺服器上包括密碼等機密資訊,進而讓駭客發動遠端程式碼執行,或存取Nike內部網路上其他重要系統或資料庫。Leo撰寫了10幾行Python程式碼,即得以從Nike.com子網域將伺服器資料傳送到他設立的外部FTP伺服器。
 
研究人員去年底發現並通報Nike此一漏洞,苦候三個月未得到對方回應後遂向ZDNet揭露此事。ZDNet引述第三方安全專家表示,Leo發現的OOB-XXE漏洞屬於重大安全問題。
 
Nike擁有廣大消費者資料,此外近年穿戴式運動量測商品大行其道,Nike也推出了可量測並上傳心率、體溫的產品如智慧腕帶、智慧跑鞋等,這也使得Nike得以累積消費者的隱私資料。
 
Nike對ZDNet表示,研究人員所指的網站僅是一個幾個月前才啟用的測試網站,主要是提供批發客戶使用,非一般消費者,而且代管該網站的伺服器與Nike.com主網站是切開的。雖然使用者可以Nike.com的帳密登入該站,但其網站採用微服務架構,而且具嚴謹的伺服器設定,因此使用者資料並未受到該漏洞影響。目前Nike已經將該網站下線並進行調查。

 


Advertisement

更多 iThome相關內容