运动用品大厂Nike旗下的特定网站爆出可能泄露密码的安全漏洞数个月还不修补,安全研究人员于是本周向媒体公开此事。 Nike表示,该网站仅为测试用途,并与Nike.com主网站是切开的,没有数据外泄疑虑,目前该站也已下线并进行调查。
安全研究人员Corben Leo发现Nike旗下MyNikeTeam.com网站存在一个XML外部实体(Out-of-band XML external entities,OOB-XXE)攻击漏洞,出现在网站解析XML文件的过程中,可能曝露服务器上包括密码等机密信息,进而让黑客发动远程代码执行,或访问Nike内部网络上其他重要系统或数据库。 Leo撰写了10几行Python代码,即得以从Nike.com子网域将服务器数据发送到他设立的外部FTP服务器。
研究人员去年底发现并通报Nike该漏洞,苦候三个月未得到对方回应后遂向ZDNet披露此事。 ZDNet引述第三方安全专家表示,Leo发现的OOB-XXE漏洞属于重大安全问题。
Nike拥有广大消费者数据,此外近年穿戴式运动量测商品大行其道,Nike也推出了可量测并上传心率、体温的产品如智慧腕带、智慧跑鞋等,这也使得Nike得以累积消费者的隐私数据。
Nike对ZDNet表示,研究人员所指的网站仅是一个几个月前才激活的测试网站,主要是提供批发客户使用,非一般消费者,而且代管该网站的服务器与Nike.com主网站是切开的。虽然用户可以Nike.com的帐密登录该站,但其网站采用微服务架构,而且具严谨的服务器设置,因此用户数据并未受到该漏洞影响。目前Nike已经将该网站下线并进行调查。