## ZoomInfo GTM Studio 追踪问题 - 摘要
安全研究发现,ZoomInfo 的 GTM Studio 登陆页面存在广泛的预先同意追踪,尽管该平台被宣传为识别网站访客。在任何同意横幅出现*之前*,检测到超过 50 个追踪请求,包括与 Sardine.ai 合作的行为生物识别和 PerimeterX 的指纹识别。
当研究人员在 LinkedIn 上分享这些发现时,ZoomInfo 的 CEO 立即屏蔽了他们,没有提供任何回应或澄清。这份“证据包”详细介绍了技术分析,包括解码的配置,显示默认追踪鼠标移动和打字模式。
该报告强调了使用此类供应商可能存在的法律风险,并引用了潜在的 GDPR、CCPA 和 CIPA 违规行为。它警告说,依赖于可能非法获取的“意向数据”可能导致法律责任、客户诉讼和声誉损害。
核心信息:透明度至关重要。营销人员应审计其技术栈,了解供应商的做法,并优先考虑合规性,因为仅仅声称不知情可能不是有效的辩护。证据已公开提供,供验证和审查。
## Hacktron CLI 与 85,000 美元的漏洞赏金:一种新的漏洞研究方法
一位安全研究人员在以 JDBC 驱动程序为中心的漏洞赏金活动中,面临着紧迫的截止日期,他利用 Hacktron CLI 加速漏洞发现。在剩余的两天内,手动审计大量驱动程序以查找常见漏洞(RCE、SSRF 等)是不可能的。
Hacktron 被用作“副驾驶”,快速分析反编译的驱动程序源代码,使用了定制的、以漏洞为中心的“JDBC 驱动程序包”。它有效地识别了潜在的 sink 并追踪用户可控的输入,大大缩短了分析时间。
这导致发现了关键漏洞,包括 Databricks 驱动程序中的一个 RCE,源于本地文件暂存的缺陷 allowlist – 通过 Databricks 的 Volume 存储并与 Git 仓库克隆功能链式利用。 此外,还在 Exasol(任意文件读取)和 Teradata(命令注入,已披露)中发现了漏洞。
最终,Hacktron 在不同厂商的驱动程序中发现了多个漏洞,获得了 **85,000 美元的漏洞赏金**。 此次经验凸显了 LLM 辅助审计加速研究的潜力,使研究人员能够专注于创造性的利用,而不是繁琐的手动代码审查。 Hacktron CLI 目前正在招募早期用户:[https://app.hacktron.ai/signup](https://app.hacktron.ai/signup)
通用EV1是一款20世纪90年代的先锋电动汽车,在汽车历史上备受争议。它最初是为满足加州ZEV指令而制造,但在游说活动软化法规后,通用汽车突然取消了该项目。与众不同的是,通用汽车*租赁*了EV1,但在项目结束后收回并大肆销毁了这些车辆,阻止车主购买它们——这一故事在纪录片《谁杀死了电动汽车?》中广为人知。
现在,一项非凡的项目正在进行中。一辆EV1(车辆识别码#278)——在被遗弃并拍卖后合法获得——正在被修复至可行驶状态。这辆车似乎是唯一一辆私人拥有且不受限制的EV1。
修复团队计划用现代组件替换已移除的电池和逆变器,包括定制的磷酸铁锂(LFP)电池组,目标续航里程超过200英里。尽管面临诸如挡风玻璃破碎等挑战,他们正在利用雪佛兰S10电动汽车的零部件。雄心勃勃的目标是在2026年11月14日——EV1推出30周年之际——让EV1再次行驶起来。