HANCHUESS hat immer die Erfahrung unserer Nutzer in den Vordergrund gestellt. Wir mussten den Betrieb der betroffenen Microservices der digitalen Plattform für einen Tag vorübergehend aussetzen, und es gab ein Problem, bei dem die Nutzer keinen Zugang zu ihnen hatten.

Unser Team hat sofort Maßnahmen ergriffen, um das Problem zu beheben, das inzwischen behoben ist. Nach der Untersuchung des Problems haben wir festgestellt, dass das Problem auf die Verwendung eines Funktionsmoduls zurückzuführen ist, das vom Spring Boot Actuator für die Introspektion und Überwachung der Anwendung bereitgestellt wird, um bestimmte Überwachungsmetriken, Statistiken usw. der Anwendung anzuzeigen. Durch die Verwendung dieses Moduls zur Überwachung der Anwendung und ihrer Interaktionen werden aufgrund der großen Anzahl eingebauter Endpunkte (Health, Info, Beans, Metrics, Httptrace, Shutdown usw.) sensible Serverinformationen über Http offengelegt, die Gegenstand von Hackerangriffen sein können. Dieses Problem wäre nicht aufgetreten, wenn wir eine Richtlinie verwendet hätten, um die Http-Expositionsmethode zu deaktivieren, und eine Richtlinie festgelegt hätten, um den Zugriff zu sperren.

Derzeit wurde HANCHUESS behoben und intern getestet, um sicherzustellen, dass dieses Problem nicht erneut auftritt. Seit dem 12. August 2022 sind alle mit der digitalen Plattform verbundenen Dienste wieder verfügbar. Wir entschuldigen uns noch einmal für die Auswirkungen, die dieses Problem für unsere Nutzer hatte.

2022-08-11,NITIAL

2022-08-12,Fortschreitende Aktualisierung Version

HANCHUESS begrüßt Sicherheitsexperten und Forschungsteams, die an unserem Programm zur Offenlegung von Schwachstellen (VDP) teilnehmen möchten. HANCHUESS verpflichtet sich, die Verantwortung für die Sicherheit unserer Benutzer auf der ganzen Welt zu übernehmen, damit diese ein sicheres und zuverlässiges intelligentes Leben genießen können.

Für die auf dieser Seite offengelegten Sicherheitsschwachstellen übernimmt HANCHUESS keine Garantie oder Gewährleistung, weder ausdrücklich noch stillschweigend, einschließlich der Gewährleistung der Marktgängigkeit oder der Eignung für einen bestimmten Zweck oder der Nichtverletzung von Rechten Dritter. Sie sind sich darüber im Klaren, dass die Informationen zur Offenlegung von Schwachstellen nur als Referenz dienen, damit Sie das Sicherheitsrisiko einschätzen und eine angemessene Entscheidung treffen können. Die Nutzung des Dokuments, gleichgültig mit welchen Mitteln, erfolgt auf Ihr eigenes Risiko. In keinem Fall haftet HANCHUESS für Schäden jeglicher Art, einschließlich direkter, indirekter, zufälliger oder Folgeschäden, entgangener Geschäftsgewinne oder besonderer Schäden.