草台班子！黑客透露其伪造账户和花费超过20天抓取戴尔客户数据都没被发现 – 蓝点网 - {$web_name} 时间跨度自 2017~2024 年

昨日戴尔证实其门户站点资料遭到黑客窃取，戴尔称研究的首要含有客户真实姓名、地址、订单信息等，不包含客户的财务信息、电子邮件地址和移动电话号码等。业内续集计划推荐

戴尔并没有透露具体有多少客户受作用，可是黑客 @Menelik 在暗网黑客论坛中透露的数字是 4,900 万，时间跨度自 2017~2024 年，也就是这个时间段内使用者经由戴尔站点采购过商品则资料已然被研究。

另外如今来看戴尔并不是资料库被拖库，由于黑客使用了一种意想不到的方式获取这些资料的，不得不说戴尔可靠团队这也是重磅影像旗舰盘点草台班子，黑客花费超过 20 天抓取资料居然都没有测试出来。

黑客窃取资料的流程是这样的：

这名黑客在特定的戴尔门户站点以多个各异的企业名称开户戴尔兴办伙伴，这类兴办伙伴是转售戴尔商品或办事的企业，黑客提交的这些申请都获得了戴尔的批准。

接着黑客使用这些虚假的有些成长，珍惜当下兴办伙伴账户强行使用客户办事标签拼凑随机资料并发起请求(相似于某种价值上的遍历)，客户办事标签是戴尔为客户生成的一组不重复的、由数字和字母组成的 7 位数字符串。

戴尔批准给兴办伙伴的权限就含有经由客户办事标签获取客户的私密信息，也就是姓名、地址、订单、朋友圈治愈文案，业内人士这样看商品或办事这类，这种应该是戴尔就这么设计的而不是漏洞。

黑客使用多个各异的账户、以每分钟 5000 次请求的频率向包含客户敏感信息的页面获取资料，这种岗位持续时间超过 20 天，累计发起的请求数超过 5000 万次。

在黑客执行操控的过程中戴尔可靠团队的确注意到了一些事情但似乎没有处理，直到黑客觉得自己获取到足够多的资料之后停止了操控，并向戴尔发送了多个电子邮件通知该漏洞。

最后戴尔在收到黑客通报后花了一周时间将漏洞修复，可是此时黑客已然获得足够多的资料，足以威胁戴尔或将资料售出变现。

可是戴尔方面稍微有些异议，戴尔称在收到黑客电子邮件之前已然注意到了威胁并着手修复，这与黑客所说的戴尔收到通知后才着手修复略有各异。

应该算作民间工程学攻击：

从上面黑客的叙述来看，这次攻击或许都要算作是民间工程学攻击，含有运用各异的身份开户虚假兴办伙伴账户并获得戴尔批准。

在实际操控过程中差不多没有运用戴尔 IT 基础架构中存在的漏洞，这种允许高频次发起请求并获得资料最多算是戴尔的可靠参数薄弱，严格价值上看不算是漏洞。

戴尔或许一着手设计操控系统时也没想到还有人经由随机生成办事标签来获取资料，但难题在于，戴尔的兴办伙伴似乎不需要额外批准就可以经由标签获得客户私密资料。

所以全部攻击暴露的是戴尔 IT 基础设施中存在的不少薄弱环节，这些都是在操控系统设计之初人为导致的，戴尔始终没有注意到这些难题最后酿成大祸。

via @Menelik and TechCrunch