Meetup安全漏洞可讓駭客接管社團以及金流

專門追蹤軟體安全漏洞的Checkmarx在本周揭露，線上社團與活動平臺Meetup含有兩個安全漏洞，成功的攻擊將允許駭客接管活動，還可直接將金流導至駭客的帳號。

Checkmarx先是在Meetup上找到跨網站指令碼（Cross-site scripting，XSS）攻擊漏洞，允許駭客將腳本程式張貼到討論區中，當使用者以瀏覽器造訪該頁面時，只會執行該程式，卻看不到程式碼。

繼之Checkmarx又在Meetup上發現另一個跨站請求偽造（Cross-site Request Forgery，CSRF）漏洞，且若串連上述的XSS漏洞及CSRF漏洞，即可擴張駭客的權限，讓駭客成為某個活動的協辦單位（Co-Organizer）。

研究人員說明，當駭客把惡意的腳本程式注入社團的討論區時，只要造訪該頁面的是主辦單位，在執行惡意程式之餘還可利用CSRF漏洞，把駭客的角色變更為協辦單位，而讓駭客得以存取社團的所有功能，包括設定、建立活動、管理金錢或存取會員名單等。

在成功開採了這兩個漏洞之後，研究人員再利用一個腳本程式變更了連結主辦單位PayPal帳號的電子郵件位址，這意味著未來該社團因舉辦各種活動所收取的款項，都會流落到駭客所指定的帳號中，而且因為電子郵件已被變更，主辦單位也不會收到任何的郵件通知。

總而言之，串連上述兩個漏洞將讓駭客接管任何的Meetup社團，存取社團的功能與資產，還能將所有的款項導至任何的PayPal帳號中。Checkmarx是在去年底發現了相關漏洞並知會Meetup，而Meetup則是在今年7月中完全修復它們。