Los analistas de seguridad han encontrado errores en el mercado en línea de segunda mano de Lego que deja a sus usuarios en riesgo de secuestro de cuentas y fuga de datos.
en una entrada de blog(Se abre en una nueva ventana)Salt Labs dijo que los problemas, ahora resueltos, afectaron a BrickLink.com, propiedad de Lego, el mercado oficial más grande del mundo para ladrillos Lego.
Los investigadores de seguridad dijeron que dos problemas de seguridad de la API podrían haber permitido a un atacante hacerse cargo de las cuentas de BrickLink y acceder y robar información de identificación personal almacenada en el sitio. Las vulnerabilidades también podrían haber permitido a los atacantes obtener acceso a los datos de producción internos y comprometer los servidores internos, informa Bleeping Computer.(Se abre en una nueva ventana).
Los errores de BrickLink se detectaron cuando los analistas de Salt Lab estaban experimentando con los campos de entrada de los usuarios en el sitio del mercado.
La primera falla notada por los investigadores incluía una deficiencia de secuencias de comandos entre sitios (XSS) en el cuadro de diálogo «Buscar nombre de usuario» de la sección de búsqueda de cupones que permitía la «inyección y ejecución» de código que podría apuntar a la máquina de un objetivo.
La falla, si se explota correctamente, significa que los atacantes podrían tener acceso a detalles personales como la dirección de correo electrónico, la dirección de envío, el pedido y el historial de mensajes de un usuario objetivo, dijo Salt Lab.
Los investigadores también explotaron una falla en la página «Subir a la lista de personas buscadas» donde un mecanismo de análisis de punto final defectuoso les permitió lanzar un ataque que podía leer datos de producción internos.
Recomendado por Nuestros Editores
Los analistas dijeron que no pudieron confirmar o negar si alguna de las vulnerabilidades fue explotada.
PCMag se puso en contacto con Lego para comentar sobre los errores de BrickLink, pero no recibió una respuesta de inmediato.
Los analistas de seguridad alientan a cualquier fanático de Lego preocupado a que se comunique directamente con la marca si está preocupado por las vulnerabilidades informadas.
En octubre, Lego decidió descontinuar su gama de robots programables Mindstorms, después de 24 años de producción. Significa el fin del kit de inventor de robots Mindstorms de Lego de $ 359.99, que permite a los fanáticos de Lego construir cinco modelos de robots diferentes a partir de 949 ladrillos Lego.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.