近日，Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)，法國(guó)的漢堡王由于網(wǎng)站配置錯(cuò)誤而向公眾泄露了敏感信息。漢堡王作為美國(guó)著名的國(guó)際快餐巨頭，在全球擁有超過(guò)1.9萬(wàn)家餐廳，收入18億美元。

這些泄露的信息一旦落入惡意行為者手中，則會(huì)成為其對(duì)漢堡王連鎖店實(shí)施網(wǎng)絡(luò)攻擊的工具。由于此次遭遇信息泄露的是求職網(wǎng)站，因此那些在法國(guó)漢堡王求職的人可能會(huì)受到影響。

事實(shí)上這已經(jīng)不是漢堡王第一次泄露敏感數(shù)據(jù)了。據(jù)報(bào)道，早在2019年漢堡王就曾因?yàn)榕渲缅e(cuò)誤，導(dǎo)致法國(guó)分店泄露了購(gòu)買(mǎi)漢堡王的兒童個(gè)人身份信息(PII)。

Cybernews聯(lián)系了該公司，該公司稱(chēng)已經(jīng)解決了這個(gè)問(wèn)題。

可公開(kāi)訪問(wèn)的憑證

2023 年 6 月 1 日，Cybernews 研究小組發(fā)現(xiàn)了一個(gè)屬于漢堡王法國(guó)網(wǎng)站的可公開(kāi)訪問(wèn)的環(huán)境文件（.env），其中包含各種憑證，該文件托管在用于發(fā)布招聘信息的子域上。

雖然泄露的數(shù)據(jù)本身不足以完全控制該網(wǎng)站，但它可以大大簡(jiǎn)化攻擊者的潛在接管過(guò)程，特別是當(dāng)他們還能夠識(shí)別其他易受攻擊的端點(diǎn)時(shí)。

除其他敏感數(shù)據(jù)外，該文件還包含一個(gè)數(shù)據(jù)庫(kù)的憑證。雖然由于法律原因，研究人員無(wú)法檢查數(shù)據(jù)庫(kù)中到底存儲(chǔ)了什么內(nèi)容，但其中很可能有求職者輸入的職位信息和其他個(gè)人數(shù)據(jù)。

數(shù)據(jù)庫(kù)憑據(jù)的暴露是十分危險(xiǎn)的，因?yàn)閻阂庑袨檎呖梢岳眠@些憑據(jù)連接到數(shù)據(jù)庫(kù)，然后讀取或修改其中存儲(chǔ)的數(shù)據(jù)。如果威脅行為者能夠發(fā)現(xiàn)并利用網(wǎng)站中的任意 PHP 代碼執(zhí)行漏洞，.env 中的憑據(jù)就可以更容易、更隱蔽地提取 MySQL 數(shù)據(jù)庫(kù)。

研究小組觀察到的另一項(xiàng)敏感信息包括 Google Tag Manager ID。Google 標(biāo)簽管理器是一種用于優(yōu)化更新網(wǎng)站或移動(dòng)應(yīng)用程序上的測(cè)量代碼和相關(guān)代碼片段（統(tǒng)稱(chēng)為標(biāo)簽）的工具。Google 標(biāo)簽管理器 ID 指定了網(wǎng)站應(yīng)使用的標(biāo)簽管理器容器。

攻擊者一旦獲取到這些憑據(jù)，并將其與網(wǎng)站上的其他漏洞點(diǎn)相結(jié)合，就有可能將標(biāo)簽 ID 更改為自己容器的 ID。然后他們就能在網(wǎng)站上執(zhí)行任意的 JavaScript 代碼。

破壞網(wǎng)站指標(biāo)

研究人員還發(fā)現(xiàn)了一個(gè) Google Analytics ID，其專(zhuān)門(mén)用于確定哪些流量應(yīng)被記錄并發(fā)送到相關(guān)的 Google Analytics 賬戶(hù)。

攻擊者可以利用這些泄露的數(shù)據(jù)在自己控制的網(wǎng)站上設(shè)置 ID，然后那些自動(dòng)生成的流量會(huì)使相關(guān)的 Google Analytics 賬戶(hù)不堪重負(fù)，從而在攻擊期間對(duì)網(wǎng)站的性能分析造成嚴(yán)重破壞。