戴爾可能一開始設計係統時也沒想到還有人通過隨機生成服務標簽來獲取數據,訂單信息等,戴爾始終沒有注意到這些問題最終釀成大禍。
應該算作社會工程學攻擊:
從上麵黑客的敘述來看,但問題在於,
不過戴爾方麵稍微有些異議,
另外現在來看戴爾並不是數據庫被拖庫,由數字和字母組成的 7 位數字符串。
黑客使用多個不同的賬戶、不過黑客 @Menelik 在暗網黑客論壇中透露的數字是 4,900 萬,戴爾稱在收到黑客電子郵件之前已經注意到了威脅並開始修複,不得不說戴爾安全團隊這也是草台班子,
接著黑客使用這些虛假的合作夥伴賬戶強行使用客戶服務標簽拚湊隨機數據並發起請求(類似於某種意義上的遍曆),黑客提交的這些申請都獲得了戴爾的批準。電子郵件地址和手機號碼等。直到黑客認為自己獲取到足夠多的數據之後停止了操作,
戴爾並沒有透露具體有多少客戶受影響,
戴爾批準給合作夥伴的權限就包括通過客戶服務標簽獲取客戶的私密信息,足以威脅戴爾或將數據售出變現。客戶服務標簽是戴爾為客戶生成的一組不重複的、以每分鍾 5000 次請求的頻率向包含客戶敏感信息的頁麵獲取數據,嚴格意義上看不算是漏洞。因為黑客使用了一種意想不到的方式獲取這些數據的,
黑客竊取數據的流程是這樣的:
這名黑客在特定的戴爾門戶網站以多個不同的企業名稱注冊戴爾合作夥伴,包括利用不同的身份注冊虛假合作夥伴賬戶並獲得戴爾批準。
via @Menelik and TechCrunch
在黑客執行操作的過程中戴爾安全團隊確實注意到了一些事情但似乎沒有處理,時間跨度自 2017~2024 年,
所以整個攻擊暴露的是戴爾 IT 基礎設施中存在的不少薄弱環節,這種工作持續時間超過 20 天,不過此時黑客已經獲得足夠多的數據,
昨天戴爾證實其門戶網站數據遭到黑客竊取,並向戴爾發送了多個電子郵件通知該漏洞。黑客花費超過 20 天抓取數據竟然都沒有檢測出來。產品或服務這類,這種允許高頻次發起請求並獲得數據最多算是戴爾的安全配置薄弱,這次攻擊可能都要算作是社會工程學攻擊,也就是姓名、
在實際操作過程中幾乎沒有利用戴爾 IT 基礎架構中存在的漏洞,這與黑客所說的戴爾收到通知後才開始修複略有不同。累計發起的請求數超過 5000 萬次。不包含客戶的財務信息、戴爾稱泄露的主要包括客戶真實姓名、
