在 LEGO® Group 旗下的乐高转售平台中发现了应用程序编程接口 (API) 安全漏洞，这可能会使敏感的客户信息面临风险。

日前，Salt Security 研究团队 Salt Labs 进行的一项调查，发现BrickLink中存在两个API安全漏洞，BrickLink 是一个买卖乐高零件、人仔和套装的在线市场，拥有超过一百万的会员。

研究人员表示，这些漏洞可能使威胁行为者能够对客户账户进行大规模账户接管 (ATO) 攻击，访问平台存储的个人身份信息 (PII) 用户数据，并获得对内部生产数据的访问权限，从而可能导致完全妥协 BrickLink 的内部服务器。

Salt Security 研究副总裁 Yaniv Balmas 在 Black Hat Europe 2022 期间对Infosecurity Magazine 发表讲话时解释说：“我们在那里发现的东西使该系统的每个用户都处于危险之中——我们可能会访问用户存储的所有信息，包括个人信息数据和信用卡详细信息。”[阅读原文]