昨天戴爾證實(shí)其門戶網(wǎng)站數(shù)據(jù)遭到黑客竊取，草臺戴爾稱泄露的班黑被主要包括客戶真實(shí)姓名、地址、客透客戶長沙包夜學(xué)生妹（電話微信189-4469-7302）一二線城市預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源覆蓋全國訂單信息等，偽造不包含客戶的賬戶抓財(cái)務(wù)信息、電子郵件地址和手機(jī)號碼等。和花

戴爾并沒有透露具體有多少客戶受影響，費(fèi)超不過黑客 @Menelik 在暗網(wǎng)黑客論壇中透露的過天數(shù)字是 4,900 萬，時(shí)間跨度自 2017~2024 年，戴爾都沒點(diǎn)網(wǎng)也就是數(shù)據(jù)這個(gè)時(shí)間段內(nèi)用戶通過戴爾網(wǎng)站購買過產(chǎn)品則數(shù)據(jù)已經(jīng)被泄露。

另外現(xiàn)在來看戴爾并不是現(xiàn)藍(lán)數(shù)據(jù)庫被拖庫，因?yàn)楹诳褪褂昧艘环N意想不到的草臺方式獲取這些數(shù)據(jù)的，不得不說戴爾安全團(tuán)隊(duì)這也是班黑被長沙包夜學(xué)生妹（電話微信189-4469-7302）一二線城市預(yù)約、空姐、模特、留學(xué)生、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源覆蓋全國草臺班子，黑客花費(fèi)超過 20 天抓取數(shù)據(jù)竟然都沒有檢測出來。客透客戶

黑客竊取數(shù)據(jù)的流程是這樣的：

這名黑客在特定的戴爾門戶網(wǎng)站以多個(gè)不同的企業(yè)名稱注冊戴爾合作伙伴，這類合作伙伴是轉(zhuǎn)售戴爾產(chǎn)品或服務(wù)的公司，黑客提交的這些申請都獲得了戴爾的批準(zhǔn)。

接著黑客使用這些虛假的合作伙伴賬戶強(qiáng)行使用客戶服務(wù)標(biāo)簽拼湊隨機(jī)數(shù)據(jù)并發(fā)起請求(類似于某種意義上的遍歷)，客戶服務(wù)標(biāo)簽是戴爾為客戶生成的一組不重復(fù)的、由數(shù)字和字母組成的 7 位數(shù)字符串。

戴爾批準(zhǔn)給合作伙伴的權(quán)限就包括通過客戶服務(wù)標(biāo)簽獲取客戶的私密信息，也就是姓名、地址、訂單、產(chǎn)品或服務(wù)這類，這種應(yīng)該是戴爾就這么設(shè)計(jì)的而不是漏洞。

黑客使用多個(gè)不同的賬戶、以每分鐘 5000 次請求的頻率向包含客戶敏感信息的頁面獲取數(shù)據(jù)，這種工作持續(xù)時(shí)間超過 20 天，累計(jì)發(fā)起的請求數(shù)超過 5000 萬次。

在黑客執(zhí)行操作的過程中戴爾安全團(tuán)隊(duì)確實(shí)注意到了一些事情但似乎沒有處理，直到黑客認(rèn)為自己獲取到足夠多的數(shù)據(jù)之后停止了操作，并向戴爾發(fā)送了多個(gè)電子郵件通知該漏洞。

最終戴爾在收到黑客通報(bào)后花了一周時(shí)間將漏洞修復(fù)，不過此時(shí)黑客已經(jīng)獲得足夠多的數(shù)據(jù)，足以威脅戴爾或?qū)?shù)據(jù)售出變現(xiàn)。

不過戴爾方面稍微有些異議，戴爾稱在收到黑客電子郵件之前已經(jīng)注意到了威脅并開始修復(fù)，這與黑客所說的戴爾收到通知后才開始修復(fù)略有不同。

應(yīng)該算作社會(huì)工程學(xué)攻擊：

從上面黑客的敘述來看，這次攻擊可能都要算作是社會(huì)工程學(xué)攻擊，包括利用不同的身份注冊虛假合作伙伴賬戶并獲得戴爾批準(zhǔn)。

在實(shí)際操作過程中幾乎沒有利用戴爾 IT 基礎(chǔ)架構(gòu)中存在的漏洞，這種允許高頻次發(fā)起請求并獲得數(shù)據(jù)最多算是戴爾的安全配置薄弱，嚴(yán)格意義上看不算是漏洞。

戴爾可能一開始設(shè)計(jì)系統(tǒng)時(shí)也沒想到還有人通過隨機(jī)生成服務(wù)標(biāo)簽來獲取數(shù)據(jù)，但問題在于，戴爾的合作伙伴似乎不需要額外批準(zhǔn)就可以通過標(biāo)簽獲得客戶私密數(shù)據(jù)。

所以整個(gè)攻擊暴露的是戴爾 IT 基礎(chǔ)設(shè)施中存在的不少薄弱環(huán)節(jié)，這些都是在系統(tǒng)設(shè)計(jì)之初人為造成的，戴爾始終沒有注意到這些問題最終釀成大禍。

via @Menelik and TechCrunch

• ·【重磅】2024 年 ChinaJoy 官方活動(dòng)日程正式公布！
• ·金鏟鏟之戰(zhàn)保鏢白魔發(fā)條陣容玩法攻略
• ·天涯明月刀真武基礎(chǔ)屬性選擇方法指引
• ·DNF男魔法師轉(zhuǎn)職分析 DNF男魔法師轉(zhuǎn)什么職業(yè)好
• ·《陽陽師》齊新結(jié)界皮膚·華夜楓舞 即將上線！
• ·創(chuàng)造與魔法圣誕鈴鐺在哪
• ·QQ炫舞旅行挑戰(zhàn)第25期巧克力姬SS搭配攻略圖
• ·CF新版本怒海雄心攻略 CF新地圖市政廳試玩攻略
• ·DOTA卡牌游戲《Artifact》細(xì)節(jié)曝光 可控制5個(gè)英雄
• ·原神導(dǎo)能原盤跋尾打法分享
• ·DNF馭劍士TB1刷圖加點(diǎn) DNF女鬼劍馭劍士技能加點(diǎn)
• ·小浣熊百將傳王令非常向往參加全國高階靈劍大會(huì)嗎
• ·【會(huì)議】2024 年第 21 屆 ChinaJoy 展前預(yù)覽（同期會(huì)議篇—CDEC）正式發(fā)布
• ·食物語海米升百彩怎么樣
• ·高爾夫球的凹點(diǎn)的故事
• ·《暗黑破壞神3》2.3版本新增彩蛋