## watchTowr 与互联网,第68部分:总结
watchTowr 的最新研究揭示了大量暴露的凭据——超过 8 万个——这些凭据被发现于 JSONFormatter 和 CodeBeautify 等公开可访问的 JSON 格式化工具中。尽管多次发出警告并发生过类似事件,但组织仍然会无意中通过将敏感数据粘贴到这些看似无害的在线工具中来泄露数据,并利用“保存”功能创建可共享的链接。
暴露的数据范围令人担忧,包括 Active Directory 凭据、数据库访问权限、云环境密钥、API 密钥,甚至一家大型银行的客户个人身份信息。受影响的行业涵盖关键基础设施、政府、金融、网络安全公司本身等等。该研究表明了一种持续的疏忽模式,即使是注重安全的组织也可能成为受害者。
watchTowr 积极监控这些平台,并确认其他人已经在抓取暴露的凭据。他们主动联系了许多组织和 CERT,但回应有限。核心问题不是复杂的攻击,而是基本的安全卫生——特别是*不要*在网上发布凭据。这项研究强调了共享责任模型,并强调了容易预防的错误如何导致重大的安全漏洞。最终,该报告提醒人们,即使是简单的工具,在使用不当的情况下也可能成为主要的风险。
每日HackerNews RSS
一个黑客新闻的讨论强调了在不可信的网站上输入密码的危险,起因是 JSONFormatter 禁用了“保存”功能,因为用户将敏感信息——包括凭据——存储在格式化的 JSON 文件中。
用户对人们会通过这种工具将 JSON 数据(和密码!)保存到公共链接感到震惊,特别是考虑到大多数编程语言和浏览器(如 `JSON.stringify`)都内置了格式化选项。一些评论者承认他们创建并忘记了许多独特的密码,而另一些人则建议使用像 KeepassXC 这样的密码管理器。
对话揭示了一个令人惊讶的趋势:人们无意中通过使用在线格式化工具处理敏感数据来泄露机密,而不是专注于安全的密码管理实践。一位用户甚至承认将密码存储在桌面上的文本文件中!
毛茸茸的、大眼睛的Labubu玩具在2025年夏天迅速走红,成为线上和实体店无处不在的存在。它源于2015年的绘本系列,需求很快超过了供应,推高了转售价格,甚至催生了假冒“Lafufus”市场。然而,这种受欢迎程度却出人意料地短暂。 到2025年末,Labubu变得随处可见,Pop Mart的股价暴跌,预示着迅速衰落。这种快速的兴起和衰落体现了一种由互联网和短视频内容驱动的新趋势周期。与过去持久的潮流不同,今天的趋势传播*更快*,但消退也*更快*,这归因于注意力持续时间的缩短。 互联网现在孕育了一种去中心化的文化,算法创造了小众社区和源源不断的新现象——导致了趋势的混乱“混搭”。这并非一定是负面的;它代表着从强制统一到通过全球在线互动促进的多元文化和兴趣的良好交流的转变。Labubu从中国现象到全球狂热的历程完美地说明了这一点,展示了互联网连接和分享体验的力量。
## Labubus 的兴衰与现代互联网趋势
最近在 Hacker News 上出现了一场关于 Labubus 逐渐失去人气的讨论。Labubus 是一种收藏人偶,曾经历过快速的流行。评论员将其与过去的潮流如弹珠和豆豆熊相提并论,并指出互联网时代潮流的节奏加快。
Labubus 迅速崛起和衰落的关键因素似乎在于其分销方式,类似于带有盲盒销售和有限内容信息的“幸运盲盒”。这种类似赌博的机制最初推动了炒作,但可能也导致了潮流的过早消退。
对话扩展到对碎片化互联网文化的更广泛观察。用户认为算法会创造高度个性化的内容泡沫,导致更快的潮流周期,其中“酷”与早期采用和快速放弃相关联。一些人认为这种去中心化削弱了共同的文化体验,而另一些人则认为它促进了利基社区。关于这种碎片化是新的还是仅仅是现有模式的加速,存在争论,一些人指出文化各个方面日益个性化。最终,这场讨论强调了在线潮流的兴衰速度,并质疑了数字时代消费和地位的本质。
## ZoomInfo GTM Studio 追踪问题 - 摘要
安全研究发现,ZoomInfo 的 GTM Studio 登陆页面存在广泛的预先同意追踪,尽管该平台被宣传为识别网站访客。在任何同意横幅出现*之前*,检测到超过 50 个追踪请求,包括与 Sardine.ai 合作的行为生物识别和 PerimeterX 的指纹识别。
当研究人员在 LinkedIn 上分享这些发现时,ZoomInfo 的 CEO 立即屏蔽了他们,没有提供任何回应或澄清。这份“证据包”详细介绍了技术分析,包括解码的配置,显示默认追踪鼠标移动和打字模式。
该报告强调了使用此类供应商可能存在的法律风险,并引用了潜在的 GDPR、CCPA 和 CIPA 违规行为。它警告说,依赖于可能非法获取的“意向数据”可能导致法律责任、客户诉讼和声誉损害。
核心信息:透明度至关重要。营销人员应审计其技术栈,了解供应商的做法,并优先考虑合规性,因为仅仅声称不知情可能不是有效的辩护。证据已公开提供,供验证和审查。
一位研究人员在ZoomInfo的GTM Studio落地页记录监控行为时,因发现广泛的预先同意跟踪而被该公司CEO屏蔽。研究人员发现了超过118个跟踪域名,通过Sardine.ai进行行为生物识别(在获得同意*之前*触发),以及通过PerimeterX进行设备指纹识别。相关证据,包括HAR文件和代码分析,已在GitHub上公开 ([https://github.com/clark-prog/blackout-public](https://github.com/clark-prog/blackout-public))。
该帖子在Hacker News上引发了关于潜在自我推广(研究人员链接到相关服务)和更广泛的隐私侵犯问题的争论。 许多评论员指出,ZoomInfo在自身也采用类似跟踪方法的同时,却在销售访客识别工具,这其中的讽刺意味。 此外,人们还对欧盟GDPR执法力度减弱表示担忧,这可能会鼓励公司将数据收集置于用户隐私之上。 讨论强调了一种常见的做法,即公司采取“事后寻求原谅”的合规方法。
使用人工智能大规模审计 JDBC 驱动程序获得了 85000 美元的赏金。
Auditing JDBC Drivers at Scale with AI led to 85000 bounty
2 天前
## Hacktron CLI 与 85,000 美元的漏洞赏金:一种新的漏洞研究方法
一位安全研究人员在以 JDBC 驱动程序为中心的漏洞赏金活动中,面临着紧迫的截止日期,他利用 Hacktron CLI 加速漏洞发现。在剩余的两天内,手动审计大量驱动程序以查找常见漏洞(RCE、SSRF 等)是不可能的。
Hacktron 被用作“副驾驶”,快速分析反编译的驱动程序源代码,使用了定制的、以漏洞为中心的“JDBC 驱动程序包”。它有效地识别了潜在的 sink 并追踪用户可控的输入,大大缩短了分析时间。
这导致发现了关键漏洞,包括 Databricks 驱动程序中的一个 RCE,源于本地文件暂存的缺陷 allowlist – 通过 Databricks 的 Volume 存储并与 Git 仓库克隆功能链式利用。 此外,还在 Exasol(任意文件读取)和 Teradata(命令注入,已披露)中发现了漏洞。
最终,Hacktron 在不同厂商的驱动程序中发现了多个漏洞,获得了 **85,000 美元的漏洞赏金**。 此次经验凸显了 LLM 辅助审计加速研究的潜力,使研究人员能够专注于创造性的利用,而不是繁琐的手动代码审查。 Hacktron CLI 目前正在招募早期用户:[https://app.hacktron.ai/signup](https://app.hacktron.ai/signup)
使用AI审计JDBC驱动程序,获得85000美元的奖励 (hacktron.ai)
16点 由 Mohansrk 1天前 | 隐藏 | 过去 | 收藏 | 1条评论
burnte 1天前 [–]
我真的不情愿地说,页面顶部和底部的渐变效果会改变文本的可视性,非常分散注意力,我不得不搜索源代码禁用该CSS才能阅读文章。这太分散注意力了。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 维基百科统一移动和桌面域名:提升性能与SEO 17年来,维基百科一直通过独立的移动域名(m.wikipedia.org)为移动用户服务,这在2008年是一种常见做法。然而,随着谷歌转向“移动优先”索引,实际上忽略了独立的移动网址,这种做法变得过时。这一变化导致来自谷歌的流量(维基百科浏览量的60%)页面加载时间**减慢10-20%**。 为了解决这个问题,维基百科在2023年10月统一了其移动和桌面域名。这消除了重定向,**使所有用户的移动响应速度提高了20%**。 此次更改也显著提升了SEO,特别是对于Wikimedia Commons,在启用站点地图后,谷歌的页面索引**增加了140%**。 除了性能和SEO之外,统一域名还解决了链接共享的UX问题,并**通过将CDN清除率减半来降低了基础设施负载**,每天节省数十亿次清除操作。 该项目展示了一次成功的现代化改造,使维基百科与当前的网络标准保持一致,并为用户和运营带来显著的益处。
## 维基百科统一移动和桌面域名
维基媒体最近解决了长期存在的不一致问题:以前移动维基百科链接(m.wikipedia.org)不会重定向到桌面网站,而反之则会。这意味着用户经常需要手动编辑网址才能查看格式正确的页面。这项变更,详情请参见博客文章,现在确保无论起始域名如何,都能在移动版本和桌面版本之间无缝重定向。
Hacker News上的讨论显示,人们普遍对“m.”域名感到沮丧,认为它们有单向重定向的历史,并且桌面体验通常较差。一些用户甚至更喜欢在桌面上使用移动维基百科网站,因为它布局更简洁,而另一些用户则强调了移动端文章中链接到特定章节的问题。
除了技术修复之外,维基媒体还表示加强域名品牌是主要动力之一。此次更新解决了许多人觉得烦人的可用性问题,并使维基百科符合现代网络实践,结束了这一可以追溯到移动网络开发的早期阶段的做法。
Trail of Bits为LLVM 21开发了恒时编码支持,以保护密码学实现免受时序攻击——利用基于秘密数据的执行时间变化所造成的漏洞。编译器常常会以无意的方式优化代码,重新引入分支,即使在精心编写的恒时代码中也会产生这些时序侧信道。 为了解决这个问题,他们引入了`__builtin_ct_select`内在函数。这指示编译器在代码生成期间保持恒时行为,作为防止可能损害安全性的优化的屏障。该内在函数被转换为特殊的LLVM指令,确保该操作在所有编译阶段和架构(x86-64、i386、ARM、AArch64等)上保持恒时。 初步基准测试,与苏黎世联邦理工学院合作进行,表明性能开销最小,同时完全保留了恒时属性。这项工作已经受到Rust Crypto、BearSSL和PuTTY等项目的关注,为不太可移植的解决方法提供了替代方案。未来的计划包括扩展恒时内在函数套件,涵盖算术和字符串操作,并扩展对Rust、Swift和WebAssembly等语言的支持。
## PinePhone 调制解调器破解:隐藏的 ADB Shell 一名开发者在 PinePhone 的闭源 Quectel EG25-G 调制解调器中发现了一个隐藏的 ADB(Android Debug Bridge)shell。系统日志中显示的一个特定密钥解锁了对调制解调器*内部*运行的完整 Linux 操作系统(版本 3.18.44)的访问权限。 使用 ADB,该开发者成功地在调制解调器的有限存储空间上部署并运行了一个静态 HTTP 服务器(darkhttpd),然后转发端口以访问直接托管在该设备上的博客。吞吐量测试显示通过 ADB 转发约为 10Mb/s。 然而,这一发现引发了重大的安全问题。许多调制解调器命令使用 `system()`,可能打开命令注入漏洞的大门。更关键的是,通过 ADB 获取 root 访问权限允许潜在的恶意软件持久存在——在主机操作系统重新安装后仍然存活,并能够进行通信/位置跟踪。虽然交互需要由 PinePhone 发起的 USB 连接,但风险仍然很大。这凸显了调制解调器设计中的潜在安全缺陷以及闭源组件在开源硬件中的更广泛影响。
一位Hacker News用户(xx_ns)分享了一个几年前的项目:直接在GPS/LTE调制解调器上托管博客。这受到最近HN讨论的启发。他们还链接到一篇关于该项目挑战的回顾文章。
讨论涉及了调制解调器较旧的内核版本和潜在的安全风险。虽然有人担心远程代码执行(RCE)漏洞,但xx_ns解释说有限的交互面(仅HTTP请求)减轻了一些风险。
其他评论者提到了相关的项目,包括替换调制解调器操作系统的工作——但这只涵盖了ARM处理器,不包括处理无线电功能的Hexagon处理器。一位评论者俏皮地将这种设置比作共生起源,强调了组件之间复杂的关系。
一辆从报废机中幸存下来的稀有GM EV1即将再次可以驾驶。
A rare GM EV1 saved from the crusher is going to be driveable again
2 天前
通用EV1是一款20世纪90年代的先锋电动汽车,在汽车历史上备受争议。它最初是为满足加州ZEV指令而制造,但在游说活动软化法规后,通用汽车突然取消了该项目。与众不同的是,通用汽车*租赁*了EV1,但在项目结束后收回并大肆销毁了这些车辆,阻止车主购买它们——这一故事在纪录片《谁杀死了电动汽车?》中广为人知。
现在,一项非凡的项目正在进行中。一辆EV1(车辆识别码#278)——在被遗弃并拍卖后合法获得——正在被修复至可行驶状态。这辆车似乎是唯一一辆私人拥有且不受限制的EV1。
修复团队计划用现代组件替换已移除的电池和逆变器,包括定制的磷酸铁锂(LFP)电池组,目标续航里程超过200英里。尽管面临诸如挡风玻璃破碎等挑战,他们正在利用雪佛兰S10电动汽车的零部件。雄心勃勃的目标是在2026年11月14日——EV1推出30周年之际——让EV1再次行驶起来。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
一辆从压碎机中拯救的稀有 GM EV1 即将再次可驾驶 (electrek.co)
34 分,DamnInteresting 1 天前 | 隐藏 | 过去 | 收藏 | 3 条评论
geoffeg 1 天前 | 下一个 [–]
相关:https://news.ycombinator.com/item?id=45980608 回复
dang 1 天前 | 父级 | 下一个 [–]
评论已移至此处。谢谢!回复
idiotsecant 1 天前 | 上一个 [–]
我有一个类似型号的 Chevy s-10 EV,我正在进行类似的改造。s-10 EV 社区对任何不恢复到原始状态的操作都不太感兴趣,但当这些车辆变得如此老旧时,你必须具备对原始硬件的真正专业知识才能接近维修。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
数学家亚历克斯·伯恩斯坦研究图着色问题,具体来说,如何为由边连接的节点着色,使得相邻节点不共享颜色。这些问题根据“可测性”——着色集合的可量化程度——在描述集合论中进行分类。最初,伯恩斯坦专注于按颜色数量对这些问题进行“分层”(双色最简单,三色更复杂),但他在一次关于“分布式算法”的计算机科学讲座上,他的研究方向发生了转变。 他注意到一个惊人的平行:计算机科学家在分配Wi-Fi路由器的频率以避免干扰时,面临着类似的着色挑战,使用的是*局部*算法,即路由器只与邻居通信。这些算法的效率——它们需要多少步——似乎反映了集合论中可测图着色的阈值。 伯恩斯坦认为这两个领域之间存在着深刻的联系,甚至可能是等价关系。他正在努力证明,高效的计算机科学算法可以转化为无限图中的可测着色方法,这表明这些问题本身是根本相同的,只是表达方式不同。这可能会揭示一个潜在于这两个学科的统一结构。