快餐业巨头汉堡王第二次将敏感凭证暴露给公众,将他们的系统和数据置于危险之中。
汉堡王是一家总部位于美国的国际快餐巨头,在全球拥有超过19000家餐厅,年收入达18亿美元。
最近,Cybernews的研究团队发现,汉堡王在法国暴露敏感凭据向公众由于他们的网站上的错误配置。
在恶意行为者手中,泄露的凭证可以作为一种工具,对连锁店的系统进行网络攻击。由于受影响的网站提供工作申请服务,在法国汉堡王求职的人可能会受到潜在的影响。
这已经不是汉堡王第一次泄露敏感数据了。2019年,由于类似的配置错误,据报道法国分公司泄露了购买汉堡王菜单的儿童的个人身份信息(北极星工业)。
Cybernews联系了该公司,该公司解决了这个问题。
可公开访问的凭据
2023年6月1日,Cybernews研究团队发现了一个属于汉堡王法国网站的可公开访问的环境文件(.env),其中包含各种凭据。该文件托管在用于发布招聘信息的子域名上。
虽然泄露的数据本身不足以完全控制网站,但它可以大大简化攻击者的潜在接管过程,特别是如果他们设法识别其他易受攻击的端点。
除其他敏感数据外,该文件还包含数据库的凭据。然而,由于法律原因,研究人员无法检查数据库中到底存储了什么,但有可能是职位,也许还有求职者输入的其他数据。
数据库凭据的暴露是危险的,因为恶意参与者可以使用它们连接到数据库,并读取或修改存储在其中的数据。如果威胁参与者能够找到并利用站点中的任意PHP代码执行漏洞,则.env中的凭据将被可以更容易和更隐蔽的提取MySQL数据库。
研究团队观察到的另一条敏感信息包括Google Tag Manager ID。Google Tag Manager是一种工具,用于优化网站或移动网页上的测量代码和相关代码片段(统称为标记)的更新。Google标记管理器ID指定网站应使用哪个标记管理器容器。
通过持有这些凭据并将其与网站上的其他漏洞相结合,攻击者可能会将Tag ID更改为他们自己容器的ID。然后他们就可以在网站上执行任意的JavaScript代码。
破坏网站的指标
最后,研究人员找到了一个Google Analytics ID。这用于确定哪些流量应该被记录并发送到相关的Google Analytics账户。
攻击者可以利用这些泄露的数据在他们控制的站点上设置ID,然后用自动生成的流量对其进行泛滥。这种流量会使关联的Google Analytics账户不堪重负,在攻击期间造成网站性能分析的严重中断和扭曲。