草台班子！黑客透露其伪造账户和花费超过20天抓取戴尔客户数据都没被发现

昨天戴尔证实其门户网站数据遭到黑客窃取，戴尔称泄露的主要包括客户真实姓名、地址、订单信息等，不包含客户的财务信息、电子邮件地址和手机号码等。

戴尔并没有透露具体有多少客户受影响，不过黑客 @Menelik 在暗网黑客论坛中透露的数字是 4,900 万，时间跨度自 2017~2024 年，也就是这个时间段内用户通过戴尔网站购买过产品则数据已经被泄露。

另外现在来看戴尔并不是数据库被拖库，因为黑客使用了一种意想不到的方式获取这些数据的，不得不说戴尔安全团队这也是草台班子，黑客花费超过 20 天抓取数据竟然都没有检测出来。

黑客窃取数据的流程是这样的：

这名黑客在特定的戴尔门户网站以多个不同的企业名称注册戴尔合作伙伴，这类合作伙伴是转售戴尔产品或服务的公司，黑客提交的这些申请都获得了戴尔的批准。

接着黑客使用这些虚假的合作伙伴账户强行使用客户服务标签拼凑随机数据并发起请求(类似于某种意义上的遍历)，客户服务标签是戴尔为客户生成的一组不重复的、由数字和字母组成的 7 位数字符串。

戴尔批准给合作伙伴的权限就包括通过客户服务标签获取客户的私密信息，也就是姓名、地址、订单、产品或服务这类，这种应该是戴尔就这么设计的而不是漏洞。

黑客使用多个不同的账户、以每分钟 5000 次请求的频率向包含客户敏感信息的页面获取数据，这种工作持续时间超过 20 天，累计发起的请求数超过 5000 万次。

在黑客执行操作的过程中戴尔安全团队确实注意到了一些事情但似乎没有处理，直到黑客认为自己获取到足够多的数据之后停止了操作，并向戴尔发送了多个电子邮件通知该漏洞。

最终戴尔在收到黑客通报后花了一周时间将漏洞修复，不过此时黑客已经获得足够多的数据，足以威胁戴尔或将数据售出变现。

不过戴尔方面稍微有些异议，戴尔称在收到黑客电子邮件之前已经注意到了威胁并开始修复，这与黑客所说的戴尔收到通知后才开始修复略有不同。

应该算作社会工程学攻击：

从上面黑客的叙述来看，这次攻击可能都要算作是社会工程学攻击，包括利用不同的身份注册虚假合作伙伴账户并获得戴尔批准。

在实际操作过程中几乎没有利用戴尔 IT 基础架构中存在的漏洞，这种允许高频次发起请求并获得数据最多算是戴尔的安全配置薄弱，严格意义上看不算是漏洞。

戴尔可能一开始设计系统时也没想到还有人通过随机生成服务标签来获取数据，但问题在于，戴尔的合作伙伴似乎不需要额外批准就可以通过标签获得客户私密数据。

所以整个攻击暴露的是戴尔 IT 基础设施中存在的不少薄弱环节，这些都是在系统设计之初人为造成的，戴尔始终没有注意到这些问题最终酿成大祸。

via @Menelik and TechCrunch