苹果服务工单门户网站曝出严重安全漏洞,数百万用户的敏感数据或遭泄露。
该漏洞源于不安全的直接对象引用(IDOR)与权限提升问题的叠加,使得未经授权的人员能够访问用户信息,其中包括 Mac 序列号、国际移动设备识别码(IMEI)以及服务工单详情。
研究人员维图维尔(Virtuvil)在使用二维码提交维修工单后,通过对门户网站后端功能展开调查,发现了这一问题。
SIEM 即服务
利用 IDOR 漏洞,他得以访问其他用户的服务工单及敏感数据。进一步深入探究后发现,还可利用权限提升漏洞完全接管管理面板。
该问题的核心在于门户网站在设计时缺失访问控制检查。
- IDOR 漏洞:门户网站为服务工单分配了唯一标识符,但却未对用户是否有权限访问这些记录进行验证。例如:包含类似https://service.apple.com/ticket?id=12345这样参数的网址,只需更改 id 值就能被修改。这使得未经授权的人员无需经过身份验证,即可访问其他用户的工单。
- 权限提升:一旦实现未经授权的访问,进一步的利用手段便可实现权限提升至管理员级别。这种纵向权限提升能够让攻击者掌控敏感的系统功能,如修改维修预约或访问客户数据库。
- 缺乏速率限制:由于缺少速率限制机制,风险被进一步放大。攻击者可以使用诸如入侵脚本之类的自动化工具,遍历工单 ID 或用户参数,从而有系统地大规模窃取数据。
遭泄露的数据
此次数据泄露涉及广泛的敏感信息:
- 客户数据:姓名、联系方式和地址。
- 设备详情:Mac 序列号、IMEI 码以及保修状态。
- 服务信息:维修记录和预约时间表。
研究人员表示:“我查看自己工单的请求时,注意到网址中包含一个极易修改的参数 —— 我的手机号码。通过更改请求中的手机号码,我无需任何身份验证措施,就能访问另一位用户的工单。”
遭泄露的客户数据
这样的漏洞影响极为严重,个人信息的泄露可能导致身份盗窃或网络钓鱼攻击。恶意行为者还可能取消或更改大量的维修预约。
苹果公司在通过漏洞悬赏计划得知该漏洞后,随即进行了修复。受影响的系统均已推出安全更新,加强了授权检查并实施了速率限制措施。
此次数据泄露事件深刻地提醒我们,积极主动的网络安全措施对于保护用户数据至关重要。