ホワイトハットハッカーのSharon Brizinovは、GitHub ArchiveとGitHub Events APIを利用して、GitHubが強制プッシュ後でも削除済みコミットを保持していることを発見しました。2020年以降のすべての強制プッシュイベントをスキャンすることで、2万5000ドル相当のバグ報奨金を見つけ出しました。彼はTruffle Securityと協力して、Force Push Scannerというツールをオープンソース化し、ユーザーが自分のGitHub組織で隠されたコミットと漏洩したシークレットをスキャンできるようにしました。これは、一見削除されたコミットでもセキュリティリスクとなる可能性があることを示しており、コードセキュリティの重要性を強調しています。
続きを読む
著者は、Eight Sleepスマートベッドに重大なセキュリティホールを発見しました。公開されたAWSキーと、Eight SleepのエンジニアがSSHでリモートアクセスできるバックドアです。これは、エンジニアがベッドのLinuxシステムにアクセスし、睡眠データを取得し、家庭ネットワーク上の他のデバイスを制御できる可能性があることを意味します。著者は安価な水槽用チラーに切り替え、セキュリティリスクなしで同様の温度制御を実現しました。これは、IoTデバイスのセキュリティと、企業によるユーザーデータ収集の倫理的な意味合いに関する懸念を引き起こします。
続きを読む
新たな研究により、Googleの「Googleでログイン」認証フローに重大な脆弱性があることが明らかになり、数百万人のアメリカ人のデータが危険にさらされる可能性があります。攻撃者は、倒産したスタートアップのドメインを購入し、元従業員のメールアカウントを再作成することで、これらのアカウントに関連付けられた様々なSaaSサービス(機密情報を含む人事システムやチャットプラットフォームなど)にアクセスできます。研究者はこの問題をGoogleに報告しましたが、Googleは当初「修正しない」と判断しました。研究者のShmooconでの講演が承認された後、Googleは問題を再開し、報奨金を支払いました。Googleは修正に取り組んでいますが、数百万のアカウントは依然として脆弱な状態です。
続きを読む