找回密码

特斯拉论坛用户被错误授予150万账户的访问权限

Daniel Eleff 是特斯拉 Model 3 的客户之一,但他在交付过程中遇到了一些不是很愉快的事情。当他带着怨气登录官方论坛之后,但发生了一件神奇的事情 —— 阴差阳错之下,其竟然能够获得超过 150 万论坛用户的信息访问权限。

特斯拉论坛用户被错误授予150万账户的访问权限

首先要吐槽下,特斯拉的官方论坛,实在有些落伍了。Dan 在帖子中指出,用户无法上传那图片或编辑帖子,公司也没在其中显示出应有的参与度。

事情要从 Eleff 发现自己帖子消失时开始,其致电特斯拉客服,要求为自己增加权限(变更 ID 身份为车主),因为非车主每天仅限新开一帖。

据悉,特斯拉客服代表对 Eleff 的论坛支持请求感到困惑,并承诺将请相关事务转交 IT 部门处理。然而在拓展权限之后,Eleff 发现自己竟然被意外地授予了整个网站的管理员权限。

大约一小时后,当 Eleff 重新登录论坛时,发现自己不仅能够编辑和删除帖子、还能够恢复已删除的帖子 —— 包括他自己的、以及其他 150 万论坛成员的个人信息。

显然,这是一起相当严重的信息安全违例,不过特斯拉在声明中称:“客户无意中获得了特斯拉论坛更高级别的授权,后者与我们的车辆、主站、以及其它数字渠道都无关”。

接到报道后,我司立即撤销了相关访问权限。在完成审计后,我们会对其它权限进行相应的调整。

目前未发现有任何滥用账户或内容的行为,我们已采取措施,确保这类事情不再发生。

特斯拉论坛用户被错误授予150万账户的访问权限

最后,Eleff 还发现,自己不是唯一“没有 @tesla.com邮件地址、但被授予相同的管理员访问权限”的个人。万幸的是,他选择了及时向官方汇报这一 bug,而不是在论坛上滥用不当获取的权利。

http://xzh.i3geek.com

重要提醒:文章部分内容及图片来源于网络,我们尊重作者版权,若有疑问可与我们联系。侵权及不实信息举报邮箱至:aiskr@aiskr.com

相关推荐