聚焦源代码安全网罗国内外最新资讯编译代码卫士斯柯达汽车公司披露了一起影响其官方网上商店的重大IT安全事件称多名未授权个人利用该平台标准商店软件中的一个漏洞获得对客户信息的临时未授权访问权限。斯柯达IT团队在例行实施技术安全监控时发现攻击者利用了该网上商店底层软件中的一个漏洞渗透系统。斯柯达公司立即采取遏制措施并作为预防措施立即将网上商店下线。该漏洞已完全修复斯柯达还聘请一家外部IT取证公司开展全面的事件后技术分析。该事件已根据法规要求正式报送相关的数据防护监督机构。斯柯达安全事件斯柯达网络商店存储了客户的大量个人数据包括完整姓名、邮件地址、网络邮箱地址、电话号码、订单历史以及账号登录凭据。密码使用加密哈希而非明文形式存储因此提供了额外的防护层。最重要的是从当前的取证结果来看信用卡详情并未存储在商店系统中支付数据由第三方支付服务提供商专门处理因此金融数据并未遭暴露。取证分析证实称在入侵时间窗口期内从理论上来讲所存储信息很有可能遭访问。然而由于现有服务器端登录协议中的限制条件调查人员无法百分百证实数据是遭外泄还是仅遭访问。斯柯达公司提到截止目前并未有实际的客户数据遭滥用的整局但鉴于无法完全排除未授权访问因此作为预防措施正在通知受影响客户。数据可能遭暴露的客户面临两个主要的威胁场景。首先是钓鱼攻击威胁人员利用已知的订单详情或个人信息来构造令人信服的欺诈邮件或信息窃取其它凭据或提示受害者点击恶意链接。第二凭据填充攻击威胁人员试图利用受陷的邮件和密码组合来获得对其它网络账号的未授权访问权限尤其是当用户复用多种服务使用的同一密码时尤为危险。该事件凸显了电商平台漏洞带来的持久风险尤其是在未经充分加固和持续安全监控就部署标准的第三方商店软件的情况。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读在线阅读版《智能网联汽车云平台漏洞分析报告》全文电动汽车充电网络告警Everon OCCP 后端系统存在严重漏洞2026 Pwn2Own 东京汽车大赛落下帷幕Master of Pwn 诞生奇安信发布智能网联汽车云平台漏洞报告九成存漏洞超七成涉高危风险原文链接https://cybersecuritynews.com/skoda-security-incident/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~