Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00343
- 發信 Vendor: AlleyPin 翔評互動股份有限公司
- Title: AlleyPin 翔評互動 Okayama 管理系統 Webhook Logs API 未授權存取導致即時 LINE 對話洩露
- Introduction: 系統的 Webhook Logs API 端點無需任何認證即可存取,攻擊者可即時監聽所有客戶診所與客服之間的 LINE 對話,包含病患手機號碼、醫師姓名等敏感個資。
處理狀態
目前狀態
公開
Last Update : 2026/05/27
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2026/03/18 16:53:25 : 新提交 (由 Marco 更新此狀態)
- 2026/03/18 18:00:44 : 新提交 (由 Marco 更新此狀態)
- 2026/03/22 13:59:51 : 新提交 (由 Marco 更新此狀態)
- 2026/03/23 23:49:20 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/26 18:34:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/26 18:34:07 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/26 18:34:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/11 17:15:18 : 複測申請中 (由 組織帳號 更新此狀態)
- 2026/05/26 10:26:49 : 確認已修補 (由 Marco 更新此狀態)
- 2026/05/27 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00343
- 通報者:mlgzackfly (Marco)
- 風險:嚴重
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://okayama.alleypin.cc/api/webhook-logs-alleypin
https://okayama.alleypin.cc/api/webhook-logs-1talk
https://okayama.alleypin.cc/api/webhook-logs-1talk
敘述
AlleyPin 的 Okayama 內部管理系統(okayama.alleypin.cc)存在兩個未授權的 API 端點,任何人無需認證即可透過 GET 請求取得即時的 LINE Webhook 事件日誌。
重現步驟
- 使用瀏覽器或 curl 訪問以下 URL:
curl https://okayama.alleypin.cc/api/webhook-logs-alleypin
curl https://okayama.alleypin.cc/api/webhook-logs-1talk- 回應為 JSON 格式,包含最近 20 筆即時 LINE Webhook 事件
- 每次刷新都會取得最新的訊息
- POST 請求可注入偽造的 log 事件
洩露的資料類型
- 即時 LINE 群組對話:診所與 AlleyPin 客服之間的文字訊息
- LINE User ID / Group ID:可用於追蹤識別個人
- 真實診所名稱:channelName 欄位包含完整診所名稱
- 病患相關資訊:訊息內容包含手機號碼(如 09****528)、醫師姓名(如「院長蔡麟」「段醫師」)、預約與帳號操作等
- 內部營運資訊:上課連結、工作進度、系統操作等
實際影響
- 測試期間持續監聽約 5 分鐘,收集到 39 筆即時事件,涉及 20 個不同的診所 LINE 群組、18 個唯一 LINE User ID (皆無儲存在本機)
- 涉及的真實醫療院所包括:三OOOO美牙醫診所、本OOOO牙醫診所、加OOOO耳鼻喉科診所、大OOOO皮膚專科診所、邢OOOO耳鼻喉科診所、新****美學診所等
- 攻擊者可透過持續輪詢實現即時監聽效果
- POST 端點允許注入偽造日誌,可能影響內部除錯流程
- 此漏洞涉及醫療相關個資,可能違反台灣《個人資料保護法》
修補建議
1. 立即對 /api/webhook-logs-*`端點加入認證機制(如 NextAuth session 驗證)
2. 考慮將 Okayama 管理系統限制為內部網路存取(VPN/IP 白名單)
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。