首先要吐槽下,特斯拉的官方论坛,实在有些落伍了。Dan 在帖子中指出,用户无法上传那图片或编辑帖子,公司也没在其中显示出应有的参与度。
事情要从 Eleff 发现自己帖子消失时开始,其致电特斯拉客服,要求为自己增加权限(变更 ID 身份为车主),因为非车主每天仅限新开一帖。
据悉,特斯拉客服代表对 Eleff 的论坛支持请求感到困惑,并承诺将请相关事务转交 IT 部门处理。然而在拓展权限之后,Eleff 发现自己竟然被意外地授予了整个网站的管理员权限。
大约一小时后,当 Eleff 重新登录论坛时,发现自己不仅能够编辑和删除帖子、还能够恢复已删除的帖子 —— 包括他自己的、以及其他 150 万论坛成员的个人信息。
显然,这是一起相当严重的信息安全违例,不过特斯拉在声明中称:“客户无意中获得了特斯拉论坛更高级别的授权,后者与我们的车辆、主站、以及其它数字渠道都无关”。
接到报道后,我司立即撤销了相关访问权限。在完成审计后,我们会对其它权限进行相应的调整。
目前未发现有任何滥用账户或内容的行为,我们已采取措施,确保这类事情不再发生。
最后,Eleff 还发现,自己不是唯一“没有 @tesla.com邮件地址、但被授予相同的管理员访问权限”的个人。万幸的是,他选择了及时向官方汇报这一 bug,而不是在论坛上滥用不当获取的权利。
