Tags populares:
Virtualização segurança DNS verificação formal análise de alcance IA erros do compilador conflito de macro extensão web framework de desenvolvimento Gráficos de Bitmap Todos os tags

Segredos ocultos em commits excluídos do GitHub: Uma história de recompensa por bugs de US$ 25 mil

2025-07-03
Segredos ocultos em commits excluídos do GitHub: Uma história de recompensa por bugs de US$ 25 mil

O hacker de chapéu branco Sharon Brizinov aproveitou o GitHub Archive e a API de eventos do GitHub para descobrir que o GitHub retém commits excluídos, mesmo após pushes forçados. Ao escanear todos os eventos de push forçado desde 2020, ele descobriu recompensas por bugs no valor de US$ 25.000. Ele se associou à Truffle Security para lançar um código aberto, o Force Push Scanner, que ajuda os usuários a escanear suas organizações do GitHub em busca de commits ocultos e segredos vazados. Isso destaca que, mesmo commits aparentemente excluídos, podem representar riscos de segurança, enfatizando a importância da segurança do código.

Leia mais
(trufflesecurity.com)
Tecnologia Recompensa por bugs Segurança de código

O Pesadelo de Segurança do Eight Sleep: Backdoors e Chaves AWS Expostas

2025-02-21
O Pesadelo de Segurança do Eight Sleep: Backdoors e Chaves AWS Expostas

O autor descobriu falhas críticas de segurança em sua cama inteligente Eight Sleep: chaves AWS expostas e uma backdoor permitindo que engenheiros da Eight Sleep acessem remotamente via SSH. Isso significa que os engenheiros podem acessar o sistema Linux da cama, obter dados de sono e potencialmente controlar outros dispositivos na rede doméstica. O autor trocou por um refrigerador de aquário barato, obtendo controle de temperatura semelhante sem os riscos de segurança. Isso levanta preocupações sobre a segurança de dispositivos IoT e as implicações éticas das empresas coletando dados do usuário.

Leia mais
(trufflesecurity.com)
Tecnologia

Milhões de Contas Vulneráveis Devido a Falha no OAuth do Google

2025-01-14
Milhões de Contas Vulneráveis Devido a Falha no OAuth do Google

Um novo estudo revela uma vulnerabilidade crítica no fluxo de autenticação "Entrar com o Google" do Google, potencialmente expondo dados de milhões de americanos. Atacadores podem comprar domínios de startups extintas, recriar contas de e-mail de ex-funcionários e acessar vários serviços SaaS vinculados a essas contas, incluindo sistemas de RH e plataformas de bate-papo contendo informações confidenciais. O pesquisador relatou o problema ao Google, que inicialmente o marcou como "não corrigirá". Somente depois que a palestra do pesquisador na Shmoocon foi aceita, o Google reabriu o problema e pagou uma recompensa. Enquanto o Google está trabalhando em uma solução, milhões de contas permanecem vulneráveis.

Leia mais
(trufflesecurity.com)
Tecnologia OAuth do Google