Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

Secrets cachés dans les commits supprimés de GitHub : Une histoire de primes de bogues de 25 000 $

2025-07-03
Secrets cachés dans les commits supprimés de GitHub : Une histoire de primes de bogues de 25 000 $

Le hacker éthique Sharon Brizinov a utilisé GitHub Archive et l'API des événements GitHub pour découvrir que GitHub conserve les commits supprimés, même après des pushes forcés. En analysant tous les événements de push forcé depuis 2020, il a découvert des primes de bogues d'une valeur de 25 000 $. Il s'est associé à Truffle Security pour open-sourcer un outil, Force Push Scanner, qui aide les utilisateurs à analyser leurs organisations GitHub à la recherche de commits cachés et de secrets divulgués. Cela souligne que même les commits apparemment supprimés peuvent présenter des risques de sécurité, soulignant l'importance de la sécurité du code.

Lire plus
(trufflesecurity.com)
Technologie Prime de bogue

Le cauchemar de sécurité d'Eight Sleep : portes dérobées et clés AWS exposées

2025-02-21
Le cauchemar de sécurité d'Eight Sleep : portes dérobées et clés AWS exposées

L'auteur a découvert des failles de sécurité critiques dans son lit intelligent Eight Sleep : des clés AWS exposées et une porte dérobée permettant aux ingénieurs d'Eight Sleep d'accéder à distance via SSH. Cela signifie que les ingénieurs peuvent accéder au système Linux du lit, obtenir des données sur le sommeil et potentiellement contrôler d'autres appareils sur le réseau domestique. L'auteur est passé à un refroidisseur d'aquarium bon marché, obtenant un contrôle de température similaire sans les risques de sécurité. Cela soulève des inquiétudes concernant la sécurité des appareils IoT et les implications éthiques des entreprises qui collectent des données utilisateur.

Lire plus
(trufflesecurity.com)
Technologie

Des millions de comptes vulnérables en raison d'une faille dans OAuth Google

2025-01-14
Des millions de comptes vulnérables en raison d'une faille dans OAuth Google

Une nouvelle étude révèle une vulnérabilité critique dans le flux d'authentification "Se connecter avec Google" de Google, exposant potentiellement les données de millions d'Américains. Les attaquants peuvent acheter des domaines de startups disparues, recréer les comptes de messagerie d'anciens employés et accéder à divers services SaaS liés à ces comptes, notamment les systèmes RH et les plateformes de chat contenant des informations sensibles. Le chercheur a signalé le problème à Google, qui l'a initialement classé comme "ne sera pas corrigé". Ce n'est qu'après l'acceptation de la présentation du chercheur à la Shmoocon que Google a rouvert le problème et versé une prime. Alors que Google travaille à une solution, des millions de comptes restent vulnérables.

Lire plus
(trufflesecurity.com)
Technologie OAuth Google