HackerNews 编译，转载请注明出处： 一名白帽黑客攻破了英特尔的四个内部系统，发现27万名英特尔员工的敏感数据遭到泄露。随后，他花费数月时间帮助该公司堵塞漏洞，最终只收到一封自动回复的感谢信。 安全研究员伊顿·兹维尔（Eaton Zveare）发现，可以绕过英特尔印度公司名片订购网站的身份验证。该系统的API响应返回的数据远超出研究员的预期。 “它给了我一个近1GB的JSON文件。这个文件包含了每位英特尔员工的详细信息。仅仅通过一次API请求，我就窃取了大量详细信息，”兹维尔在领英上发帖称。 进一步调查揭示了其他系统中的关键缺陷。 “不是一个，不是两个，而是四个漏洞，使我能够窃取超过27万名英特尔员工/工作人员的敏感信息，并且我能够通过创造性的JavaScript修补方法侵入多个内部网站，”这位安全研究员在一份报告中披露。 为了绕过英特尔印度运营网站的身份验证，研究员只是调整了客户端代码。该网站使用JavaScript重定向未经身份验证的用户，但研究员修改了一个函数使其返回非空数组，从而成功绕过登录。 研究员惊讶地发现，“后台”通信正在使用一个未经身份验证的API来返回每位员工的信息。他分享了一张截图，其中包含英特尔前首席执行官帕特·基辛格（Pat Gelsinger）的详细信息。 “数据包括姓名、职位、经理、电话号码和邮箱地址等字段，但没有像薪资或社保号这样过于敏感的信息。”他解释道。 另外三个系统暴露 研究员随后发现，英特尔用于组织内部产品组和所有权的“层级管理”（Hierarchy Management）网站包含一个易于解密的硬编码密码，该密码甚至可用于获取系统的管理员权限。 “这种加密完全是徒劳的，”研究员写道，“一切都在客户端完成，意味着客户端拥有密钥，因此可以解密密码！” 解密后的密码更令人惊讶。它只包含数字序列（123…）和字母序列（abc…）。 这个弱密码硬编码的管理员凭证允许访问该网站，其中包含“一些有趣的信息，其中一些可能涉及未发布的产品”。 研究员访问的第三个内部服务是“产品上架”（Product Onboarding）网站，可能用于上传产品信息。 “就泄露/硬编码凭证而言，这是最严重的违规者。” 各种API的凭证以纯文本形式发布在JS文件的注释中。一个加密的GitHub个人访问令牌可能允许读取英特尔ARK（产品数据库）上的虚假产品，但研究员选择不进行测试。 最后，英特尔的SEIMS（供应商环境健康安全知识产权管理系统）网站的企业登录也被攻破。同样，它泄露了所有英特尔员工的数据，但通过额外的客户端修改，可以“获得对系统的完全访问权限，查看有关英特尔供应商的大量机密信息”。 研究员能够访问产品报告和其他文件，例如保密协议（NDA）。 研究员负责任地向英特尔披露了所有漏洞，并将此经历描述为“一个单向的黑洞”。 2024年10月14日，兹维尔发送了第一个有关“商务名片”漏洞的报告，并立即收到一封自动回复邮件，写着“谢谢！”，并解释说网络基础设施漏洞不属于漏洞赏金计划的范围。 “除本通知外，不会发出其他回复或证书。”邮件写道。 这是研究员收到的唯一正式信函。 兹维尔后来在2024年10月29日和11月12日披露了更多漏洞。随后，他发送了多封跟进邮件，敦促轮换泄露的凭证并修复漏洞。 九十天后，漏洞得到修复。2025年2月28日，研究员告知英特尔打算公布调查结果。但他一直等到2025年8月18日，才将报告公开。 “硬件漏洞价值高达10万美元，而网站漏洞基本上被扔进了一个黑洞收件箱，”研究员指出，“好消息是，英特尔最近扩大了其漏洞赏金计划的覆盖范围，将服务纳入其中。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

现代化的设施伴随着现代化的问题。每一个新的物联网门铃、联网车辆或在线服务都会给具有恶意的黑客带来可能的攻击媒介。当涉及到用户数据、企业机密，甚至是在线服务的完整性时，原本安全的网络中的一个小漏洞会导致各种大问题。随着软件和在线安全最终得到更多的公众关注，数据泄露变得越来越引人注目，企业越来越关注潜在的漏洞，并转向道德黑客和漏洞赏金来协助解决问题。 企业和道德黑客可以通过一些不同的方式来识别漏洞，其中有两个流行的选择，即通过网络安全公司进行漏洞悬赏和安全管理及审计。科技行业的一些大公司都有公开的漏洞悬赏，独立的道德黑客通过识别和记录漏洞并将其提交给安全团队而获得报酬。 例如，苹果公司通过其苹果安全悬赏计划在推出后的两年半时间里支付了2000万美元，这一点非常有名。据报道，微软每年支付超过1300万美元的漏洞赏金，而索尼有一个由HackerOne管理的PlayStation的漏洞赏金计划。HackerOne是一个抵抗攻击的管理组织，与从PayPal到任天堂，以及通用汽车等所有人合作，帮助调查和缓解攻击载体。2022年12月12日，HackerOne发布了《2022年黑客驱动的安全报告》，其中揭示了一些令人震惊的统计数据和趋势。 根据HackerOne的报告，该组织及其在线黑客社区在2022年发现了超过65000个新的软件漏洞，这比2021年增加了21%。该组织报告说，这些新的漏洞中有许多来自数字化转型项目，企业正在转向更加数字优先或在家工作的结构。 该黑客组织的客户投资上升了45%，这表明企业正在意识到网络安全的重要性。HackerOne报告称，投资的增加是由汽车项目的四倍增长以及电信和区块链增长的巨大飞跃造成的。虽然大多数行业在道德黑客方面的投资有所增加，但计算机硬件和外围设备、消费品以及旅游和酒店业的投资却有所减少。 报告还指出，企业通过HackerOne赏金计划支付了约2.3亿美元，对其黑客的调查显示，该平台上65%的黑客根据提供的赏金选择目标，而46%的人将根据赏金拒绝目标。这一信息显示，如果公司认真对待漏洞赏金计划，他们需要在黑客愿意调查之前向赏金投入现金。根据该报告，该计划中一半的黑客发现了一个漏洞，但拒绝报告，原因是这样做没有赏金，也有可能是惧怕与黑客行为有关的潜在法律责任。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7176372352119374392/ 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 黑客控制了一颗退役卫星，并播放了黑客会议演讲和黑客电影。 在拉斯维加斯举行的最新一届DEF CON黑客大会上，白帽黑客团体Shadytel演示了如何控制地球静止轨道上的卫星。该组织使用了一颗名为Anik F1R的卫星，该卫星于2020年被销毁。 该组织被授权进行黑客攻击，他们攻击的卫星已经退役，这意味着它将被送往墓地轨道。墓地轨道，也被称为垃圾轨道，它远离普通运行轨道，一些卫星在其运行寿命结束时被移入此类轨道，以避免与运行中的航天器和卫星发生碰撞。 该小组的一名成员Karl Koscher解释说，他们可以使用一个未使用的上行链路设施，其中包括连接卫星的硬件。 “[Koscher]说，他们还获得了使用上行链路的许可证，并租用了卫星转发器，该转发器是在接收天线和发射天线之间打开通道的单元。”Lorenzo Franceschi-Bicchierai在主板上写道。 这群黑客能够将去年在ToorCon举行的黑客会议上的谈话与WarGames等黑客电影一起播放。 Koscher及其团队强调黑客一旦进入上行链路设施，就可能控制退役卫星进行恶意活动。 Koscher解释说，很容易找到连接卫星的硬件，该小组使用了一种Hack RF软件定义的无线电外围设备，能够传输或接收从1 MHz到6 GHz的无线电信号。这个软件很便宜，只需300美元左右。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

美国司法部(DOJ)于当地时间周四修订了有关美国最重要的反黑客法–《计算机欺诈和滥用法（Computer Fraud and Abuse Act，以下简称CFAA）》的政策。该部门指示检察官不要用CFAA来起诉网络安全研究人员–有时被称为“白帽黑客”，他们有改善技术的良好意愿。 CFAA是于1986年颁布的一项联邦法规，其禁止未经授权或超出授权的情况下访问计算机。长期以来，该法律一直被批评使用了过于宽泛和模糊的语言，即什么是对受保护的计算机的授权访问或什么是超过授权的意思。 直到去年最高法院的一个案件缩小了该法律的范围，人们担心该法可能允许对看似无害的活动进行起诉，如分享Netflix密码或使用工作的Zoom账号拨打私人电话。 随着DOJ对政策的修订，事情变得更加细化，并为那些试图改善技术的网络安全研究人员减轻了压力。 副司法部长Lisa Monaca在一份新闻稿中说道：“计算机安全研究是改善网络安全的一个关键驱动力。该部门从未对将善意的计算机安全研究作为犯罪进行起诉感兴趣。另外，今天的公告通过为善意的安全研究人员提供明确的规定以促进网络安全的发展，这些人为共同的利益铲除漏洞。” 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1271439.htm 封面来源于网络，如有侵权请联系删除