モンスターエナジー販売元の社員用サイトがハッキングされていろいろ暴露される
ハッカーのBobDaHacker氏が、モンスターエナジーの販売元「モンスタービバレッジ」の社員用サイトへ簡単にアクセスできたと報告しました。この脆弱(ぜいじゃく)性は既に修正されています。
I Hacked Monster Energy and You Won’t Believe What They Think You Look Like | bobdahacker
https://bobdahacker.com/blog/monster-energy
BobDaHacker氏が目を付けたのは、モンスタービバレッジの社員向けに構築された研修サイト「モンスター・ユニバーシティ(mu.monsterenergy.com)」です。このサイトにアクセスすると末尾に/loginが付与されログイン画面が表示されますが、ここを/registerに変えることで新規登録画面を簡単に呼び出せたとBobDaHacker氏は報告しています。
ただ、登録画面は呼び出せたものの、内容は送信できませんでした。そこでBobDaHacker氏がソースコードを直接確認したところ、APIエンドポイントがわかり、内容送信時に欠落していた項目が判明。適切なフィールドを指定して再度試行すると、モンスター・ユニバーシティへのフルアクセスが可能になったそうです。
モンスター・ユニバーシティの記述によると、主力商品であるモンスターエナジーの購買層は「若年層(Z/ミレニアル/X世代)の男性で、低所得層かつ白人(ヒスパニック系が多数)」と見なされているとのこと。
その記述の横には、モンスターエナジーのユニフォームを着た5人の写真が掲載されていました。ここに写っているのはまさに購買層をイメージしたかのような人物達です。
モンスター・ユニバーシティにはセキュリティについて教えるレッスンも掲載されていたため、BobDaHacker氏は「保護もされていないようなサイトでセキュリティについて教えるなんて皮肉だ」と指摘。
このほか、社内向けの研修資料、Zoom会議のスケジュールや参加リンク、マーケティング動画や契約書などあらゆるファイルにアクセスできるAPIエンドポイントなどに簡単にアクセス可能だったとBobDaHacker氏は報告しました。
BobDaHacker氏は脆弱性についてモンスタービバレッジに直接連絡しましたが、返信はありませんでした。ところが、BobDaHacker氏がアクセスしたことには気づいたのか、脆弱性はすぐに修正されたとのことです。
BobDaHacker氏は「ステレオタイプな購買層の作成に時間を費やすのではなく、インフラのセキュリティ強化に時間を割くべきかもしれませんね」と述べました。
