화이트햇 해커 Sharon Brizinov는 GitHub Archive와 GitHub Events API를 활용하여 GitHub가 강제 푸시 후에도 삭제된 커밋을 보관한다는 사실을 발견했습니다. 2020년 이후 모든 강제 푸시 이벤트를 스캔하여 2만 5천 달러 상당의 버그 바운티를 찾아냈습니다. 그는 Truffle Security와 협력하여 Force Push Scanner라는 도구를 오픈소스로 공개하여 사용자가 자신의 GitHub 조직에서 숨겨진 커밋과 유출된 시크릿을 스캔할 수 있도록 했습니다. 이는 보기에는 삭제된 커밋이라도 보안 위험이 될 수 있음을 보여주는 것으로, 코드 보안의 중요성을 강조합니다.
더 보기
작성자는 Eight Sleep 스마트 침대에서 심각한 보안 취약점을 발견했습니다. 노출된 AWS 키와 Eight Sleep 엔지니어가 SSH를 통해 원격으로 액세스할 수 있는 백도어입니다. 이는 엔지니어가 침대의 Linux 시스템에 액세스하고, 수면 데이터를 얻고, 가정 네트워크의 다른 장치를 제어할 수 있음을 의미합니다. 작성자는 저렴한 수족관 냉각기를 사용하여 보안 위험 없이 유사한 온도 제어를 달성했습니다. 이는 IoT 장치 보안 및 기업의 사용자 데이터 수집에 대한 윤리적 의미에 대한 우려를 제기합니다.
더 보기
새로운 연구에 따르면 Google의 "Google로 로그인" 인증 흐름에 심각한 취약점이 있어 수백만 명의 미국인 데이터가 위험에 처할 수 있습니다. 공격자는 파산한 스타트업의 도메인을 구매하여 전 직원의 이메일 계정을 다시 만들고, 이러한 계정과 연결된 다양한 SaaS 서비스(민감한 정보가 포함된 HR 시스템 및 채팅 플랫폼 등)에 액세스할 수 있습니다. 연구원은 이 문제를 Google에 보고했지만, Google은 처음에는 "수정하지 않겠다"고 판단했습니다. 연구원의 Shmoocon 발표가 승인된 후 Google은 문제를 다시 열고 보상금을 지급했습니다. Google은 수정 작업을 진행하고 있지만, 수백만 개의 계정은 여전히 취약한 상태입니다.
더 보기