العلامات الشائعة:
الافتراضية أمان DNS التحقق الرسمي تحليل قابلية الوصول أخطاء المترجم تضارب الماكرو امتدادات الويب إطار عمل تطوير كومودور 64 بياسيك 2.0 جميع العلامات

أسرار خفية في عمليات الالتزام المحذوفة على جيثب: قصة مكافآت أخطاء بقيمة 25000 دولار

2025-07-03
أسرار خفية في عمليات الالتزام المحذوفة على جيثب: قصة مكافآت أخطاء بقيمة 25000 دولار

استغلّ مخترق القبعات البيضاء شارون بريزينوف أرشيف جيثب وواجهة برمجة التطبيقات الخاصة بأحداث جيثب لاكتشاف أن جيثب يحتفظ بعمليات الالتزام المحذوفة، حتى بعد عمليات الدفع القسرية. من خلال مسح كل حدث دفع قسري منذ عام 2020، اكتشف مكافآت أخطاء بقيمة 25000 دولار. تعاون مع شركة ترافل سيكيورتي لإطلاق أداة مفتوحة المصدر، ماسح عمليات الدفع القسري، والتي تساعد المستخدمين على مسح منظماتهم على جيثب بحثًا عن عمليات التزام مخفية وسرّيات مسربة. يُبرز هذا أن عمليات الالتزام التي تبدو محذوفة قد تشكّل مخاطر أمنية، مؤكّدًا على أهمية أمن التعليمات البرمجية.

اقرأ المزيد
(trufflesecurity.com)
التكنولوجيا أمن التعليمات البرمجية

كابوس الأمان من Eight Sleep: أبواب خلفية ومفاتيح AWS مكشوفة

2025-02-21
كابوس الأمان من Eight Sleep: أبواب خلفية ومفاتيح AWS مكشوفة

اكتشف الكاتب ثغرات أمنية خطيرة في سريره الذكي Eight Sleep: مفاتيح AWS مكشوفة وبوابة خلفية تتيح لمهندسي Eight Sleep الوصول عن بُعد عبر SSH. هذا يعني أن المهندسين يمكنهم الوصول إلى نظام Linux الخاص بالسرير، والحصول على بيانات النوم، والتحكم في أجهزة أخرى على الشبكة المنزلية. انتقل الكاتب إلى مبرد أحواض أسماك رخيص، وحقق تحكمًا مشابهًا في درجة الحرارة دون مخاطر أمنية. هذا يثير مخاوف بشأن أمان أجهزة إنترنت الأشياء والآثار الأخلاقية لشركات جمع بيانات المستخدمين.

اقرأ المزيد
(trufflesecurity.com)
التكنولوجيا

ملايين الحسابات معرضة للخطر بسبب ثغرة في OAuth من جوجل

2025-01-14
ملايين الحسابات معرضة للخطر بسبب ثغرة في OAuth من جوجل

تكشف دراسة جديدة عن ثغرة أمنية خطيرة في تدفق مصادقة "تسجيل الدخول باستخدام جوجل" من جوجل، مما قد يعرض بيانات ملايين الأمريكيين للخطر. يمكن للمهاجمين شراء نطاقات من الشركات الناشئة المفلسة، وإعادة إنشاء حسابات البريد الإلكتروني للموظفين السابقين، والوصول إلى العديد من خدمات SaaS المرتبطة بهذه الحسابات، بما في ذلك أنظمة الموارد البشرية ومنصات الدردشة التي تحتوي على معلومات حساسة. أبلغ الباحث عن المشكلة إلى جوجل، التي وصفتها في البداية بأنها "لن يتم إصلاحها". فقط بعد قبول عرض الباحث في مؤتمر Shmoocon، أعادت جوجل فتح المشكلة ودفعت مكافأة. بينما تعمل جوجل على إيجاد حل، لا تزال ملايين الحسابات معرضة للخطر.

اقرأ المزيد
(trufflesecurity.com)
التكنولوجيا OAuth جوجل