MSI 微星被曝出与华擎相同的安全漏洞，其售后服务网站未设置权限，导致用户提交的售后请求表单中包含的真实姓名、电话号码、详细地址等信息被搜索引擎索引，任何人都可以下载和导出自 2017 年以来提交的售后用户资料。

😨 **未设置权限导致信息泄露**： MSI 微星的售后服务网站没有对服务器相关权限进行设置，导致搜索引擎可以索引用户提交的售后请求表单，其中包含用户的真实姓名、电话号码、详细地址等敏感信息。任何人都可以轻松地通过搜索引擎找到这些信息，并下载和导出自 2017 年以来提交的售后用户资料。

😱 **信息泄露范围广泛**： 由于该问题最早可以追溯到 2017 年，这意味着超过 60 万名用户的个人信息已经在互联网上公开暴露了 7 年。更糟糕的是，微星的售后系统可以将所有数据导出为 Excel 文件，这意味着攻击者可以轻松获取大量用户数据。

🤬 **微星应对措施简单粗暴**： 当 Gamers Nexus 频道发现问题并通知微星后，微星的处理方式是直接封锁相关服务器的访问，甚至停止子域名的解析。然而，这种方式并不能彻底解决问题，因为部分搜索引擎仍然提供缓存，用户资料信息仍然可以通过缓存访问。

🤔 **安全意识薄弱**： 微星和华擎发生的这种安全问题都非常低级，因为他们没有为服务器配置相关权限，导致任何人都可以访问。这说明这些公司的安全团队并没有认真检查公司内部基础设施的权限，缺乏基本的网络安全意识。

😔 **用户隐私安全堪忧**： 这些事件再次提醒我们，企业在收集和处理用户数据时，必须严格遵守数据安全法规，并采取有效措施保护用户隐私。用户在提交个人信息时也应该谨慎，并了解相关信息的安全风险。

早前主板制造商华擎被发现泄露大量售后用户的详细资料，其发生原因是华擎并未对服务器相关权限进行设置，以至于搜索引擎爬虫可以直接索引用户提交的售后请求表单，该表单中包含用户的真实姓名、电话号码、详细地址等信息。

现在 MSI 微星也被发现存在完全相同的安全事故，只需要通过特定关键词即可在搜索引擎上找到微星关联的售后服务网站，该网站包含用户提交的各种详细资料。

通过售后服务网站任何人都可以直接下载和导出自 2017 年以来通过微星官网提交售后的用户资料，同样也包含真实姓名、电话号码和详细地址等信息。

经过测试任何人甚至还可以重新提交售后请求、跟踪售后请求的详细信息、访问微星给出的回复以及故障原因等，通过检索这些信息一些知名的游戏主播资料也被暴露。

发现这个问题的还是 YouTube 频道 Gamers Nexus，该频道当时立即通知微星进行处理，微星的处理方式也非常简单粗暴，直接封锁了相关服务器的访问甚至把子域名停止解析。

然而这种方式其实并不能彻底解决问题，因为部分搜索引擎仍然提供缓存，因此还可以通过缓存找到相关售后请求信息进而查看用户的详细资料。

由于该问题最早可以追溯到 2017 年，这意味着超过 60 万名的用户信息已经在互联网上裸奔长达 7 年，更糟糕的是微星的情况比华擎更糟糕，微星的售后系统甚至可以将所有数据导出为 Excel 文件。

同样的无论是微星还是华擎发生的这种安全问题都是非常低级的，因为他们没有为服务器配置相关权限导致搜索引擎以及任何人都能访问，估计这些公司的安全团队都没有仔细检查过公司内部的基础设施权限。