您的當(dāng)前位置:首頁(yè) > 知識(shí) > 草臺(tái)班子!黑客透露其偽造賬戶和花費(fèi)超過(guò)20天抓取戴爾客戶數(shù)據(jù)都沒(méi)被發(fā)現(xiàn) – 藍(lán)點(diǎn)網(wǎng) 正文
時(shí)間:2025-12-11 03:11:42 來(lái)源:網(wǎng)絡(luò)整理 編輯:知識(shí)
昨天戴爾證實(shí)其門戶網(wǎng)站數(shù)據(jù)遭到黑客竊取,戴爾稱泄露的主要包括客戶真實(shí)姓名、地址、訂單信息等,不包含客戶的財(cái)務(wù)信息、電子郵件地址和手機(jī)號(hào)碼等。戴爾并沒(méi)有透露具體有多少客戶受影響,不過(guò)黑客 @Meneli 廣州外圍模特媛交一夜情(微信365-*2895)廣州外圍真實(shí)可靠快速安排
昨天戴爾證實(shí)其門戶網(wǎng)站數(shù)據(jù)遭到黑客竊取,草臺(tái)戴爾稱泄露的班黑被主要包括客戶真實(shí)姓名、地址、客透客戶廣州外圍模特媛交一夜情(微信365-*2895)廣州外圍真實(shí)可靠快速安排訂單信息等,偽造不包含客戶的賬戶抓財(cái)務(wù)信息、電子郵件地址和手機(jī)號(hào)碼等。和花
戴爾并沒(méi)有透露具體有多少客戶受影響,費(fèi)超不過(guò)黑客 @Menelik 在暗網(wǎng)黑客論壇中透露的過(guò)天數(shù)字是 4,900 萬(wàn),時(shí)間跨度自 2017~2024 年,戴爾都沒(méi)點(diǎn)網(wǎng)也就是數(shù)據(jù)這個(gè)時(shí)間段內(nèi)用戶通過(guò)戴爾網(wǎng)站購(gòu)買過(guò)產(chǎn)品則數(shù)據(jù)已經(jīng)被泄露。
另外現(xiàn)在來(lái)看戴爾并不是現(xiàn)藍(lán)數(shù)據(jù)庫(kù)被拖庫(kù),因?yàn)楹诳褪褂昧艘环N意想不到的草臺(tái)方式獲取這些數(shù)據(jù)的,不得不說(shuō)戴爾安全團(tuán)隊(duì)這也是班黑被廣州外圍模特媛交一夜情(微信365-*2895)廣州外圍真實(shí)可靠快速安排草臺(tái)班子,黑客花費(fèi)超過(guò) 20 天抓取數(shù)據(jù)竟然都沒(méi)有檢測(cè)出來(lái)。客透客戶
黑客竊取數(shù)據(jù)的流程是這樣的:
這名黑客在特定的戴爾門戶網(wǎng)站以多個(gè)不同的企業(yè)名稱注冊(cè)戴爾合作伙伴,這類合作伙伴是轉(zhuǎn)售戴爾產(chǎn)品或服務(wù)的公司,黑客提交的這些申請(qǐng)都獲得了戴爾的批準(zhǔn)。
接著黑客使用這些虛假的合作伙伴賬戶強(qiáng)行使用客戶服務(wù)標(biāo)簽拼湊隨機(jī)數(shù)據(jù)并發(fā)起請(qǐng)求(類似于某種意義上的遍歷),客戶服務(wù)標(biāo)簽是戴爾為客戶生成的一組不重復(fù)的、由數(shù)字和字母組成的 7 位數(shù)字符串。
戴爾批準(zhǔn)給合作伙伴的權(quán)限就包括通過(guò)客戶服務(wù)標(biāo)簽獲取客戶的私密信息,也就是姓名、地址、訂單、產(chǎn)品或服務(wù)這類,這種應(yīng)該是戴爾就這么設(shè)計(jì)的而不是漏洞。
黑客使用多個(gè)不同的賬戶、以每分鐘 5000 次請(qǐng)求的頻率向包含客戶敏感信息的頁(yè)面獲取數(shù)據(jù),這種工作持續(xù)時(shí)間超過(guò) 20 天,累計(jì)發(fā)起的請(qǐng)求數(shù)超過(guò) 5000 萬(wàn)次。
在黑客執(zhí)行操作的過(guò)程中戴爾安全團(tuán)隊(duì)確實(shí)注意到了一些事情但似乎沒(méi)有處理,直到黑客認(rèn)為自己獲取到足夠多的數(shù)據(jù)之后停止了操作,并向戴爾發(fā)送了多個(gè)電子郵件通知該漏洞。
最終戴爾在收到黑客通報(bào)后花了一周時(shí)間將漏洞修復(fù),不過(guò)此時(shí)黑客已經(jīng)獲得足夠多的數(shù)據(jù),足以威脅戴爾或?qū)?shù)據(jù)售出變現(xiàn)。
不過(guò)戴爾方面稍微有些異議,戴爾稱在收到黑客電子郵件之前已經(jīng)注意到了威脅并開始修復(fù),這與黑客所說(shuō)的戴爾收到通知后才開始修復(fù)略有不同。
應(yīng)該算作社會(huì)工程學(xué)攻擊:
從上面黑客的敘述來(lái)看,這次攻擊可能都要算作是社會(huì)工程學(xué)攻擊,包括利用不同的身份注冊(cè)虛假合作伙伴賬戶并獲得戴爾批準(zhǔn)。
在實(shí)際操作過(guò)程中幾乎沒(méi)有利用戴爾 IT 基礎(chǔ)架構(gòu)中存在的漏洞,這種允許高頻次發(fā)起請(qǐng)求并獲得數(shù)據(jù)最多算是戴爾的安全配置薄弱,嚴(yán)格意義上看不算是漏洞。
戴爾可能一開始設(shè)計(jì)系統(tǒng)時(shí)也沒(méi)想到還有人通過(guò)隨機(jī)生成服務(wù)標(biāo)簽來(lái)獲取數(shù)據(jù),但問(wèn)題在于,戴爾的合作伙伴似乎不需要額外批準(zhǔn)就可以通過(guò)標(biāo)簽獲得客戶私密數(shù)據(jù)。
所以整個(gè)攻擊暴露的是戴爾 IT 基礎(chǔ)設(shè)施中存在的不少薄弱環(huán)節(jié),這些都是在系統(tǒng)設(shè)計(jì)之初人為造成的,戴爾始終沒(méi)有注意到這些問(wèn)題最終釀成大禍。
via @Menelik and TechCrunch
國(guó)產(chǎn)游戲《魔女黏糊筆記》上線Steam商店頁(yè)面2025-12-11 03:05
跨服競(jìng)技場(chǎng)開啟《山心山戰(zhàn)記》軍團(tuán)遠(yuǎn)征公測(cè)去襲2025-12-11 02:43
Fami通最受等候游戲TOP10:《拂曉傳講》登頂2025-12-11 02:28
E3 2015:《譽(yù)滅兵士4(DOOM)》新做演示 去屠個(gè)利降干堅(jiān)!2025-12-11 02:17
冠軍閃爍齊服!《劍俠天下:收源》足游“江湖名俠”嘉獎(jiǎng)齊覽2025-12-11 01:30
阿西莫婦做品改編科幻大年夜劇《基天》新預(yù)報(bào) 9月24日播出2025-12-11 01:20
《真三國(guó)無(wú)單8:帝國(guó)》真機(jī)演示釋出 將于年內(nèi)正式出售2025-12-11 01:14
《泰迪熊2》限定級(jí)新預(yù)報(bào) 活寶三人組high翻天2025-12-11 00:57
《街頭籃球》Chinajoy大賞 我是FS大玩家認(rèn)證2025-12-11 00:43
齊新弄法詳解 《超能擔(dān)當(dāng)者》年度質(zhì)料片暴光2025-12-11 00:33
解謎新作《Q.U.B.E. 2》發(fā)售時(shí)間確定 全新冒險(xiǎn)2025-12-11 02:28
傳奇仙俠足游《建羅武神》大年夜版本止已到臨2025-12-11 02:17
史克威我表示E3公布奧秘新做 灰色大年夜西洋寄意為何?2025-12-11 02:08
沙盒保存游戲《拿槍的巫師》2022年出售 支撐簡(jiǎn)中2025-12-11 01:59
虛幻4開放游戲《AQP之城》公布 海灘環(huán)境不錯(cuò)2025-12-11 01:51
《夏季苦心》齊新測(cè)試即將開啟 百變更拆體系掀秘2025-12-11 01:49
《魔力左券》新版本本日去襲 帥氣小飛俠同步退場(chǎng)2025-12-11 01:20
《開辟者:公理之喜》PS4/XB1版秋季推出2025-12-11 01:09
《暗影詛咒:地獄重制版》將于10月31日在各平臺(tái)發(fā)布2025-12-11 00:54
《為戰(zhàn)而逝世》最新預(yù)報(bào)與細(xì)節(jié)公布 豪情時(shí)候2025-12-11 00:52
免責(zé)聲明:本站所有信息均來(lái)源于互聯(lián)網(wǎng)搜集,并不代表本站觀點(diǎn),本站不對(duì)其真實(shí)合法性負(fù)責(zé)。如有信息侵犯了您的權(quán)益,請(qǐng)告知,本站將立刻刪除。
Copyright © 2025 Powered by 草臺(tái)班子!黑客透露其偽造賬戶和花費(fèi)超過(guò)20天抓取戴爾客戶數(shù)據(jù)都沒(méi)被發(fā)現(xiàn) – 藍(lán)點(diǎn)網(wǎng),桑間濮上網(wǎng) sitemap
