API安全公司Salt研究人员发现乐高(LEGO)的线上服务存在安全漏洞,不只可能让攻击者取得其他人账户完全控制权,还泄露PII以及敏感资料,同时攻击者也能够访问内部资料,而这可能导致内部服务器遭入侵。
由于研究人员Shiran Yodev除了是一名专业黑客,同时在业余时间,也喜欢收集并且组装乐高,于是乐高变成为了该研究人员的研究对象,这次被发现漏洞的并非是lego.com这个乐高的主要官方网站,而是乐高拥有的另一个线上交易平台bricklink.com。
bricklink.com最初由一个乐高迷在2000年创建,作为乐高积木以及组合包的交易平台,随着该平台的壮大,成为市场上稀有乐高积木的交易地,到了2019年,bricklink.com被乐高收购,现在为乐高的全资子公司,并且由独立团队管理。
bricklink.com的服务相当复杂,因为他提供卖家许多管理商店的功能,还能够协助买家购买和管理零件和组合包收藏列表,也有一个工作室平台,让设计师能够设计乐高作品,Shiran Yodev提到,这些复杂逻辑意味着更大的攻击面。
Shiran Yodev发现了bricklink.com中两个API安全漏洞,第一个漏洞是发生在用户输入字段,在优惠券搜索的寻找用户名对话框中,存在一个跨站脚本(XSS)漏洞,攻击者能够设计连接,在终端用户的计算机上注入和执行程序代码,只要运用暴露在不同页面上的Session ID,连接跨站脚本,便能劫持Session并且接管账户。
第二个漏洞则是在上传至愿望清单页面,这页面让用户能够以XML格式上传想要的零件列表,而攻击者在这个页面便能够进行XML外部实体攻击(XEE),读取网页服务器上的文件,并以服务器端请求伪造(Server-side request forgery)来访问并且操作无法被直接访问的资讯,包括AWS EC2权限。
乐高在接获研究人员通报之后,已经迅速修正了这些漏洞,但因为乐高公司内部政策关系,并没有对外多加说明,因此Salt无法正面确认这些修复。