專門關注軟件安全漏洞的Checkmarx在本週披露,線上社團與活動平台Meetup含有兩個安全漏洞,成功的攻擊將允許黑客接管活動,還可直接將金流跳轉至黑客的賬號。
之後Checkmarx又在Meetup上發現另一個跨站請求偽造(Cross-site Request Forgery,CSRF)漏洞,且若串聯上述的XSS漏洞及CSRF漏洞,即可擴張黑客的權限,讓黑客成為某個活動的協辦單位(Co-Organizer)。
研究人員説明,當黑客把惡意的腳本程序注入社團的討論區時,只要訪問該頁面的是主辦單位,在執行惡意程序之餘還可利用CSRF漏洞,把黑客的角色變更為協辦單位,而讓黑客得以訪問社團的所有功能,包括設置、創建活動、管理金錢或訪問會員名單等。
在成功開採了這兩個漏洞之後,研究人員再利用一個腳本程序變更了連接主辦單位PayPal賬號的電子郵件地址,這意味着未來該社團因舉辦各種活動所收取的款項,都會流落到黑客所指定的賬號中,而且因為電子郵件已被變更,主辦單位也不會收到任何的郵件通知。
總而言之,串聯上述兩個漏洞將讓黑客接管任何的Meetup社團,訪問社團的功能與資產,還能將所有的款項跳轉至任何的PayPal賬號中。Checkmarx是在去年底發現了相關漏洞並知會Meetup,而Meetup則是在今年7月中完全修復它們。