安全分析师在乐高二手在线市场发现了漏洞,这些漏洞会让用户面临账户被劫持和数据泄露的风险。
在博客中帖子(在新窗口打开)Salt Labs表示,这些问题已得到解决,影响了乐高旗下的BrickLink.com网站,该网站是全球最大的乐高积木官方市场。
安全研究人员说,两个API安全问题可能会使攻击者接管BrickLink账户,并访问和窃取存储在网站上的个人身份信息。这些漏洞还可能使攻击者获得内部生产数据,并危及内部服务器“哔哔电脑”报告(在新窗口打开).
Salt Lab的分析师在对市场网站上的用户输入字段进行试验时发现了BrickLink漏洞。
研究人员指出的第一个缺陷包括优惠券搜索部分的“查找用户名”对话框中的跨站脚本(XSS)缺陷,这允许“注入和执行”针对目标机器的代码。
Salt Lab表示,如果利用得当,这一漏洞意味着攻击者可以访问目标用户的个人详细信息,如电子邮件地址、送货地址、订单和消息历史。
研究人员还利用了“上传到通缉名单”页面上的一个漏洞,其中一个错误的端点解析机制允许他们发动攻击,可以读取内部生产数据。
分析人士表示,他们无法证实或否认是否有任何漏洞被利用。
PCMag联系乐高就BrickLink漏洞发表评论,但没有立即得到回应。
安全分析师鼓励任何关心乐高的粉丝,如果他们担心报告的漏洞,直接联系该品牌。
10月份,乐高决定停产该公司生产了24年的Mindstorms系列可编程机器人。这意味着乐高售价359.99美元的Mindstorms Robot Inventor Kit的终结,乐高迷可以用949块乐高积木打造5个不同的机器人模型。