I hacked Monster Energy
9 months ago
- #Corporate Negligence
- #Data Exposure
- #Cybersecurity
- 怪物能源公司的企业基础设施被发现完全暴露,安全决策存在严重问题。
- 怪物大学网站(mu.monsterenergy.com)的身份验证系统存在缺陷,只需将URL中的'/login'改为'/register'即可绕过安全验证。
- 虽然注册表单无法正常使用,但API接口可被轻易访问,导致怪物大学的所有培训材料遭泄露。
- 怪物能源的品牌培训内容包含对其核心消费者的刻板印象和争议性描述。
- 讽刺的是,怪物大学在一个未加密的平台上开设了网络安全课程,暴露了其糟糕的安全实践。
- 公司内部文化细节遭泄露,包括Zoom会议时间表和名为'野兽币'的内部奖励系统。
- 一个完全暴露的OpenText API接口被发现,无需认证即可访问怪物能源的整个文件系统。
- 由于ClickUp集成配置错误,某管理员的私人账户令牌被暴露,可能导致所有私有文档和项目遭窃。
- 截至本文撰写时,怪物能源公司仍未回应漏洞报告,OpenText API接口仍处于可公开访问状态。