Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Verborgene Geheimnisse in gelöschten GitHub-Commits: Eine Geschichte von Bug Bounties im Wert von 25.000 $

2025-07-03
Verborgene Geheimnisse in gelöschten GitHub-Commits: Eine Geschichte von Bug Bounties im Wert von 25.000 $

Der White-Hat-Hacker Sharon Brizinov nutzte das GitHub Archive und die GitHub Events API, um zu entdecken, dass GitHub gelöschte Commits behält, selbst nach Force Pushes. Durch das Scannen aller Force Push-Events seit 2020 fand er Bug Bounties im Wert von 25.000 $. Zusammen mit Truffle Security veröffentlichte er ein Open-Source-Tool, Force Push Scanner, das Benutzern hilft, ihre GitHub-Organisationen nach versteckten Commits und ausgelaufenen Geheimnissen zu durchsuchen. Dies unterstreicht, dass selbst scheinbar gelöschte Commits Sicherheitsrisiken darstellen können und betont die Bedeutung der Codesicherheit.

Mehr lesen
(trufflesecurity.com)
Technologie GitHub Sicherheit

Eight Sleeps Sicherheitsnightmare: Hintertüren und exponierte AWS-Schlüssel

2025-02-21
Eight Sleeps Sicherheitsnightmare: Hintertüren und exponierte AWS-Schlüssel

Der Autor entdeckte kritische Sicherheitslücken in seinem Eight Sleep Smart-Bett: exponierte AWS-Schlüssel und eine Hintertür, die es Eight Sleep-Ingenieuren ermöglicht, über SSH fernzuzugreifen. Das bedeutet, dass Ingenieure auf das Linux-System des Bettes zugreifen, Schlafdaten erhalten und möglicherweise andere Geräte im Heimnetzwerk steuern können. Der Autor wechselte zu einem günstigen Aquarium-Kühler und erreichte eine ähnliche Temperaturregelung ohne die Sicherheitsrisiken. Dies wirft Bedenken hinsichtlich der Sicherheit von IoT-Geräten und der ethischen Implikationen der Datenerfassung durch Unternehmen auf.

Mehr lesen
(trufflesecurity.com)
Technologie

Millionen von Konten durch Google OAuth-Schwachstelle gefährdet

2025-01-14
Millionen von Konten durch Google OAuth-Schwachstelle gefährdet

Eine neue Studie deckt eine kritische Schwachstelle im Google "Anmelden mit Google" Authentifizierungs-Workflow auf, die potenziell die Daten von Millionen Amerikanern gefährdet. Angreifer können Domains von gescheiterten Startups kaufen, E-Mail-Konten ehemaliger Mitarbeiter neu erstellen und auf verschiedene SaaS-Dienste zugreifen, die mit diesen Konten verknüpft sind, darunter HR-Systeme und Chat-Plattformen mit sensiblen Informationen. Der Forscher meldete das Problem an Google, das es zunächst als "wird nicht behoben" kennzeichnete. Erst nach der Annahme des Vortrags des Forschers auf der Shmoocon öffnete Google das Problem wieder und zahlte eine Belohnung. Während Google an einer Lösung arbeitet, bleiben Millionen von Konten anfällig.

Mehr lesen
(trufflesecurity.com)
Technologie