ГлавнаябезопасностьLouis Vuitton: исправлена ​​значительная уязвимость на ее сайте

Louis Vuitton: исправлена ​​значительная уязвимость на ее сайте

Η Louis Vuitton исправлена ​​уязвимость, обнаруженная в сайт и позволил злоумышленникам провести так называемое "e-mail атаки перечисления учетных записейИ возьми его контролировать эти учетные записи, сбросив пароль доступ.

Louis Vuitton

Louis Vuitton - один из самых популярных модных брендов класса люкс. Это французская компания, основанная в 1854 году, насчитывающая более 121.000 XNUMX должностные лица и 15 миллиардов долларов годового дохода.

Уязвимость обнаружена в разделе MyLV аккаунт сайта.

Создание учетной записи MyLV позволяет покупателю Louis Vuitton отслеживать онлайн-заказы, доступ в истории покупок, получать электронные квитанции, управлять личными данными и получать объявления компании.

Исследователь обнаружил уязвимость и сообщил о ней Louis Vuitton.

Исследователь безопасности Сабри Хаддуш обнаружил уязвимость и попытался связаться с Louis Vuitton.

Затем он написал Twitter22 сентября за безуспешные попытки связаться с нужным человеком. После этого он получил неопределенный ответ от компании. Хаддуш продолжил ту же тему в Twitter, говоря: «Что ж, теперь они сказали, что отнесли отчет в соответствующий отдел, так что я подожду еще неделю, пока не найду новый способ связаться с ними. Может быть, вы скажете им, что есть срочная проблема безопасности, которую нужно решить.».

Перечисление учетных записей электронной почты

Хаддуш дал BleepingComputer более подробную информацию по этому срочному делу. безопасность.

Исследователь заявил: «Уязвимостью можно очень легко воспользоваться, и я обнаружил ее по ошибке, когда щелкнул одну из ссылок электронной почты Louis Vuitton. Посмотрите, как это работает«:

  • Перейдите по следующему URL-адресу: https://account.louisvuitton.com/fra-fr/mylv/registration?A=917XXXXXXXXXXXX.
  • Идентификатор (параметр «A») можно изменить.
  • Будет отображен адрес электронной почты клиента. Если у клиента нет учетной записи, сайт попросит вас установить пароль и войти в него.

Хаддуш сделал это наблюдение, посмотрев на один Эл. адрес, что было уведомлением о ремонте Louis Vuitton. Уведомление побудило его войти в учетную запись.

Кнопка "Проконсультируйтесь с моей учетной записью«(Просмотреть мой аккаунт)», которая была в письме, привела его к ссылке MyLV с идентификатором Haddouche.

Хаддуш заметил, что замена его идентификационного номера аккаунта в параметре «А» с порядковым номером, видел чужой адрес электронной почты пользователь в поле электронной почты.

Таким образом злоумышленник мог получать адреса электронной почты многих участников Louis Vuitton без их ведома или согласия, просто изменив идентификационный номер своей учетной записи на URL-адрес.

уязвимость

Доступ к учетным записям других пользователей

Уязвимость на сайте Louis Vuitton также позволяет любому получить доступ к чужим аккаунтам пользователь.

По мнению исследователя, пользователи (жертвы) могли просто приобрести товары на сайте Louis Vuitton, используя свой адрес электронной почты, без регистрации учетной записи.

На основании вышеизложенного злоумышленник может найти эти электронные письма (изменив идентификатор) и установить пароль (запрошенный сайтом). Это может позволить злоумышленнику создать учетную запись (от имени законного пользователя) и установить пароль.

Однако, как упоминалось выше, учетная запись MyLV обеспечивает доступ к личным элементы, онлайн-заказы, доступ к истории покупок и другим конфиденциальным данным.

Следовательно злоумышленник получает доступ к конфиденциальной данные клиент.

Louis Vuitton исправил уязвимость и поблагодарил исследователя.

Louis Vuitton устранил уязвимость и поблагодарил исследователя по электронной почте за сообщение об ошибке.

В электронном письме, среди прочего, говорилось: «Мы рады сообщить, что указанная уязвимость была исправлена ​​соответствующим отделом. Еще раз благодарим вас за комментарии по этому вопросу и еще раз приносим извинения за непонимание исходного запроса.».

У Louis Vuitton есть один ошибка баунти страница в HackerOne, но, похоже, не используется.

Что касается отчета об уязвимости, исследователь сказал Спящий компьютер: «Мы фактически потеряли 2 недели, и уязвимость уже была обнаружена в Twitter DM, а затем в виде простого текста по электронной почте в течение этого периода.».

Кто-то, кто мог получить доступ к своему почтовому ящику на Twitter или в моем аккаунте можно было увидеть детали уязвимости и использовать ее", - заключил.

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!
spot_img

ЖИВЫЕ НОВОСТИ