聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
斯柯达汽车公司披露了一起影响其官方网上商店的重大IT安全事件称,多名未授权个人利用该平台标准商店软件中的一个漏洞,获得对客户信息的临时未授权访问权限。
斯柯达IT团队在例行实施技术安全监控时发现,攻击者利用了该网上商店底层软件中的一个漏洞,渗透系统。斯柯达公司立即采取遏制措施并作为预防措施立即将网上商店下线。
该漏洞已完全修复,斯柯达还聘请一家外部IT取证公司,开展全面的事件后技术分析。该事件已根据法规要求,正式报送相关的数据防护监督机构。
斯柯达安全事件
斯柯达网络商店存储了客户的大量个人数据,包括完整姓名、邮件地址、网络邮箱地址、电话号码、订单历史以及账号登录凭据。密码使用加密哈希而非明文形式存储,因此提供了额外的防护层。最重要的是,从当前的取证结果来看,信用卡详情并未存储在商店系统中;支付数据由第三方支付服务提供商专门处理,因此金融数据并未遭暴露。
取证分析证实称,在入侵时间窗口期内,从理论上来讲所存储信息很有可能遭访问。然而,由于现有服务器端登录协议中的限制条件,调查人员无法百分百证实数据是遭外泄还是仅遭访问。
斯柯达公司提到,截止目前并未有实际的客户数据遭滥用的整局,但鉴于无法完全排除未授权访问,因此作为预防措施正在通知受影响客户。数据可能遭暴露的客户面临两个主要的威胁场景。首先是钓鱼攻击,威胁人员利用已知的订单详情或个人信息来构造令人信服的欺诈邮件或信息,窃取其它凭据或提示受害者点击恶意链接。第二,凭据填充攻击,威胁人员试图利用受陷的邮件和密码组合来获得对其它网络账号的未授权访问权限,尤其是当用户复用多种服务使用的同一密码时尤为危险。
该事件凸显了电商平台漏洞带来的持久风险,尤其是在未经充分加固和持续安全监控,就部署标准的第三方商店软件的情况。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
在线阅读版:《智能网联汽车云平台漏洞分析报告》全文
电动汽车充电网络告警:Everon OCCP 后端系统存在严重漏洞
2026 Pwn2Own 东京汽车大赛落下帷幕,Master of Pwn 诞生
奇安信发布智能网联汽车云平台漏洞报告:九成存漏洞,超七成涉高危风险
原文链接
https://cybersecuritynews.com/skoda-security-incident/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
)
