Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Secretos ocultos en commits eliminados de GitHub: Una historia de recompensa por errores de 25.000$

2025-07-03
Secretos ocultos en commits eliminados de GitHub: Una historia de recompensa por errores de 25.000$

El hacker de sombrero blanco Sharon Brizinov aprovechó GitHub Archive y la API de eventos de GitHub para descubrir que GitHub conserva los commits eliminados, incluso después de los pushes forzados. Al escanear todos los eventos de push forzado desde 2020, descubrió recompensas por errores por valor de 25.000$. Se asoció con Truffle Security para lanzar un código abierto, el Force Push Scanner, que ayuda a los usuarios a escanear sus organizaciones de GitHub en busca de commits ocultos y secretos filtrados. Esto destaca que incluso los commits aparentemente eliminados pueden representar riesgos de seguridad, enfatizando la importancia de la seguridad del código.

Leer más
(trufflesecurity.com)
Tecnología Recompensa por errores Seguridad del código

La pesadilla de seguridad de Eight Sleep: puertas traseras y claves de AWS expuestas

2025-02-21
La pesadilla de seguridad de Eight Sleep: puertas traseras y claves de AWS expuestas

El autor descubrió fallas de seguridad críticas en su cama inteligente Eight Sleep: claves de AWS expuestas y una puerta trasera que permite a los ingenieros de Eight Sleep acceder de forma remota mediante SSH. Esto significa que los ingenieros pueden acceder al sistema Linux de la cama, obtener datos del sueño y potencialmente controlar otros dispositivos en la red doméstica. El autor cambió a un enfriador de acuario barato, obteniendo un control de temperatura similar sin los riesgos de seguridad. Esto plantea preocupaciones sobre la seguridad de los dispositivos IoT y las implicaciones éticas de las empresas que recopilan datos de los usuarios.

Leer más
(trufflesecurity.com)
Tecnología

Millones de cuentas vulnerables debido a un fallo en OAuth de Google

2025-01-14
Millones de cuentas vulnerables debido a un fallo en OAuth de Google

Un nuevo estudio revela una vulnerabilidad crítica en el flujo de autenticación "Iniciar sesión con Google" de Google, que podría exponer los datos de millones de estadounidenses. Los atacantes pueden comprar dominios de startups desaparecidas, recrear cuentas de correo electrónico de antiguos empleados y acceder a varios servicios SaaS vinculados a esas cuentas, incluidos sistemas de RR. HH. y plataformas de chat que contienen información confidencial. El investigador informó del problema a Google, que inicialmente lo marcó como "no se solucionará". Solo después de que se aceptara la charla del investigador en Shmoocon, Google reabrió el problema y pagó una recompensa. Mientras Google trabaja en una solución, millones de cuentas siguen siendo vulnerables.

Leer más
(trufflesecurity.com)
Tecnología OAuth de Google