HANCHUESS ha sempre dato priorità all'esperienza dei propri utenti e per questo motivo abbiamo dovuto sospendere temporaneamente il funzionamento dei microservizi della piattaforma digitale coinvolti per un giorno e si è verificato un problema di impossibilità di accesso da parte degli utenti; ci scusiamo per il disagio causato ai nostri utenti.

Da allora, il nostro team è intervenuto immediatamente per risolvere il problema, che ora è stato risolto. Dopo aver analizzato il problema, abbiamo scoperto che era dovuto all'uso di un modulo funzionale fornito dall'attuatore Spring Boot per l'introspezione e il monitoraggio dell'applicazione, per visualizzare alcune metriche di monitoraggio, statistiche, ecc. dell'applicazione. L'uso di questo modulo per monitorare l'applicazione e le sue interazioni, a causa dell'elevato numero di Endpoint integrati (health, info, beans, metrics, httptrace, shutdown, ecc.), espone informazioni sensibili del server tramite l'esposizione Http, che possono essere soggette ad attacchi di hacking. Questo problema non si sarebbe verificato se avessimo utilizzato un criterio per disattivare il metodo di esposizione Http e impostato un criterio per disabilitare l'accesso.

Attualmente, HANCHUESS è stato corretto e testato internamente per garantire che questo problema non si ripeta. A partire dal 12 agosto 2022, tutti i servizi relativi alla piattaforma digitale sono stati ripristinati. Ci scusiamo ancora una volta per l'impatto che questo problema ha avuto sui nostri utenti.

2022-08-11,NITIAL

2022-08-12,Aggiornamento versione progredita

HANCHUESS dà il benvenuto agli esperti di sicurezza e ai team di ricerca per unirsi al nostro programma di divulgazione delle vulnerabilità (VDP). HANCHUESS si impegna ad assumersi la responsabilità della sicurezza dei propri utenti in tutto il mondo, affinché possano godere di una vita intelligente sicura e affidabile.

Per le vulnerabilità di sicurezza divulgate in questa pagina, HANCHUESS non implica alcun tipo di garanzia, esplicita o implicita, comprese le garanzie di commerciabilità o di idoneità per uno scopo particolare o di non violazione. L'utente è consapevole che le informazioni sulla divulgazione delle vulnerabilità servono solo a fornire un riferimento per valutare il rischio di sicurezza e prendere decisioni appropriate. L'uso del documento, con qualsiasi mezzo, sarà totalmente a rischio dell'utente. In nessun caso HANCHUESS sarà responsabile di danni di qualsiasi tipo, compresi quelli diretti, indiretti, incidentali, consequenziali, perdita di profitti commerciali o danni speciali.