开发者迈克尔·林奇(Michael Lynch)向二手存储设备供应商goHardDrive(GHD)提交退货授权申请时,意外发现该公司通过不安全的RMA状态查询门户泄露客户信息。根据其博客描述,任何人只需在ghdwebapps.com/rma页面输入格式为GHD00000的RMA编号,即可查看包含客户姓名、邮寄地址、电子邮箱、电话号码、订单编号及日期、退货商品及原因等完整信息的表单。
该漏洞的致命性在于:查询页面无需任何身份验证,且数据通过网络链接这类固定格式URL公开暴露。这意味着攻击者既可手动输入RMA编号收集信息,也能通过脚本批量遍历所有可能的编号组合。
林奇发现漏洞后两小时内,GHD回复称将在3-5个工作日内修复。该公司后续增加了邮政编码和门牌号两项验证条件,但安全专家指出:美国约4.2万种有效邮政编码搭配0-100的门牌号,仅需约5万次尝试就有超过50%的成功率。按当前云计算成本(每小时0.3美元实现每秒4万次校验),破解单个RMA信息仅需约3秒。
由于风险不可控,GHD最终彻底关闭了在线查询功能,改为邮件沟通。值得注意的是,该公司虽向林奇提供了20美元退款(原订单金额330美元)作为感谢,但未设立正规漏洞赏金计划——此类漏洞在专业赏金项目中通常可获得数百至数千美元奖励。
