Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00353
- 發信 Vendor: 翔評互動股份有限公司
- Title: AlleyPin 翔評互動 API 未加密洩漏診所個資與帳號密碼
- Introduction: API 無做任何加密,完全公開診所資料以及個資、後台帳號密碼
- 獎勵金
處理狀態
目前狀態
公開
Last Update : 2025/07/13
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/05/02 06:46:56 : 新提交 (由 鄉民 更新此狀態)
- 2025/05/05 11:21:43 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/21 12:15:30 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/21 12:15:30 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/21 12:15:30 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/05/21 14:59:46 : 修補中 (由 組織帳號 更新此狀態)
- 2025/06/24 10:51:03 : 複測申請中 (由 組織帳號 更新此狀態)
- 2025/06/24 17:08:41 : 新提交 (由 鄉民 更新此狀態)
- 2025/06/25 14:00:50 : 新提交 (由 鄉民 更新此狀態)
- 2025/06/25 14:01:23 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/07/13 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00353
- 通報者:鄉民
- 風險:嚴重
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://alleypin.cc/monthlyReport/api/1c06bd60-4122-11ec-a382-ed5514f8425b?startTime=1743465600000&endTime=1746057600000
https://api.internal.alleypin.cc/v1/clients?id=1c06bd60-4122-11ec-a382-ed5514f8425b
https://api.internal.alleypin.cc/v1/clients?id=1c06bd60-4122-11ec-a382-ed5514f8425b
敘述
概述
本次發現於 alleypin.cc 網站之 API 洩漏,涉及診所負責人及客戶個資,包含姓名、手機、地址、帳號密碼等敏感資料。該資料透過未授權的 API 呼叫即可直接取得,屬重大資安風險。
詳細描述
-
漏洞類型:敏感資訊外洩(Sensitive Data Exposure)
-
影響範圍:alleypin.cc 全域診所與客戶資料
-
涉及資料:
-
診所負責人姓名、手機、地址
-
登入帳號與明文密碼
-
客戶評論內容、Google 評論連結、email、生日
-
API 內完整 JSON 格式資料,含評論紀錄、回覆內容、時間戳、服務商名稱等
重現步驟
- 於瀏覽器直接訪問上述 API URL
- 下載回傳的 JSON 資料
- 檢視內容可見:
username、password欄位customerAgeRange、smsContent、email、serviceStoreName等敏感欄位
影響評估
- 資料洩漏違反個人資料保護法(PIPA)、GDPR 等隱私法規
- 攻擊者可直接登入後台管理系統
- 客戶個資外洩,恐被用於釣魚攻擊、詐騙、商業間諜
- 診所信譽與商業營運風險升高
修補建議
✅ 立刻關閉或下架該 API
✅ 移除 API 回傳的敏感資料欄位
✅ 增加權限驗證與 API 訪問管制(如 JWT、IP 白名單)
✅ 重設外洩帳號的密碼
✅ 通報受影響的診所與客戶,啟動資安事件通報程序
✅ 進行全站資安稽核與修補,防止類似問題再次發生
根據 api 取得之帳號密碼
username": "**
密碼:****"
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。