昨天戴爾證實其門戶網站數據遭到黑客竊取，草臺戴爾稱泄露的班黑被主要包括客戶真實姓名、地址、客透客戶鎮江外圍（外圍美女）外圍聯系方式（電話微信189-4469-7302）高端外圍預約快速安排90分鐘到達訂單信息等，偽造不包含客戶的賬戶抓財務信息、電子郵件地址和手機號碼等。和花

戴爾并沒有透露具體有多少客戶受影響，費超不過黑客 @Menelik 在暗網黑客論壇中透露的過天數字是 4,900 萬，時間跨度自 2017~2024 年，戴爾都沒點網也就是數據這個時間段內用戶通過戴爾網站購買過產品則數據已經被泄露。

另外現在來看戴爾并不是現藍數據庫被拖庫，因為黑客使用了一種意想不到的草臺方式獲取這些數據的，不得不說戴爾安全團隊這也是班黑被鎮江外圍（外圍美女）外圍聯系方式（電話微信189-4469-7302）高端外圍預約快速安排90分鐘到達草臺班子，黑客花費超過 20 天抓取數據竟然都沒有檢測出來。客透客戶

黑客竊取數據的流程是這樣的：

這名黑客在特定的戴爾門戶網站以多個不同的企業名稱注冊戴爾合作伙伴，這類合作伙伴是轉售戴爾產品或服務的公司，黑客提交的這些申請都獲得了戴爾的批準。

接著黑客使用這些虛假的合作伙伴賬戶強行使用客戶服務標簽拼湊隨機數據并發起請求(類似于某種意義上的遍歷)，客戶服務標簽是戴爾為客戶生成的一組不重復的、由數字和字母組成的 7 位數字符串。

戴爾批準給合作伙伴的權限就包括通過客戶服務標簽獲取客戶的私密信息，也就是姓名、地址、訂單、產品或服務這類，這種應該是戴爾就這么設計的而不是漏洞。

黑客使用多個不同的賬戶、以每分鐘 5000 次請求的頻率向包含客戶敏感信息的頁面獲取數據，這種工作持續時間超過 20 天，累計發起的請求數超過 5000 萬次。

在黑客執行操作的過程中戴爾安全團隊確實注意到了一些事情但似乎沒有處理，直到黑客認為自己獲取到足夠多的數據之后停止了操作，并向戴爾發送了多個電子郵件通知該漏洞。

最終戴爾在收到黑客通報后花了一周時間將漏洞修復，不過此時黑客已經獲得足夠多的數據，足以威脅戴爾或將數據售出變現。

不過戴爾方面稍微有些異議，戴爾稱在收到黑客電子郵件之前已經注意到了威脅并開始修復，這與黑客所說的戴爾收到通知后才開始修復略有不同。

應該算作社會工程學攻擊：

從上面黑客的敘述來看，這次攻擊可能都要算作是社會工程學攻擊，包括利用不同的身份注冊虛假合作伙伴賬戶并獲得戴爾批準。

在實際操作過程中幾乎沒有利用戴爾 IT 基礎架構中存在的漏洞，這種允許高頻次發起請求并獲得數據最多算是戴爾的安全配置薄弱，嚴格意義上看不算是漏洞。

戴爾可能一開始設計系統時也沒想到還有人通過隨機生成服務標簽來獲取數據，但問題在于，戴爾的合作伙伴似乎不需要額外批準就可以通過標簽獲得客戶私密數據。

所以整個攻擊暴露的是戴爾 IT 基礎設施中存在的不少薄弱環節，這些都是在系統設計之初人為造成的，戴爾始終沒有注意到這些問題最終釀成大禍。

via @Menelik and TechCrunch

最新評論