Daniel Eleff 是特斯拉 Model 3 的客户之一,但他在交付过程中遇到了一些不是很愉快的事情。当他带着怨气登录官方论坛之后,但发生了一件神奇的事情 —— 阴差阳错之下,其竟然能够获得超过 150 万论坛用户的信息访问权限。周六的时候,他在网站文章中发表自己的离奇遭遇。
首先要吐槽下,特斯拉的官方论坛,实在有些落伍了。Dan 在帖子中指出,用户无法上传那图片或编辑帖子,公司也没在其中显示出应有的参与度。
事情要从 Eleff 发现自己帖子消失时开始,其致电特斯拉客服,要求为自己增加权限(变更 ID 身份为车主),因为非车主每天仅限新开一帖。
据悉,特斯拉客服代表对 Eleff 的论坛支持请求感到困惑,并承诺将请相关事务转交 IT 部门处理。然而在拓展权限之后,Eleff 发现自己竟然被意外地授予了整个的管理员权限。
大约一小时后,当 Eleff 重新登录论坛时,发现自己不仅能够编辑和删除帖子、还能够恢复已删除的帖子 —— 包括他自己的、以及其他 150 万论坛成员的个人信息。
显然,这是一起相当严重的信息安全违例,不过特斯拉在声明中称:“客户无意中获得了特斯拉论坛更高级别的授权,后者与我们的车辆、主站、以及其它数字渠道都无关”。
接到报道后,我司立即撤销了相关访问权限。在完成审计后,我们会对其它权限进行相应的调整。
目前未发现有任何滥用账户或内容的行为,我们已采取措施,确保这类事情不再发生。
最后,Eleff 还发现,自己不是唯一“没有 @tesla.com邮件地址、但被授予相同的管理员访问权限”的个人。万幸的是,他选择了及时向官方汇报这一 bug,而不是在论坛上滥用不当获取的权利。
[编译自:Cnet , 来源:Dans Deals]
声明:本文来自cnBeta,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
