## ZoomInfo GTM Studio 追踪问题 - 摘要
安全研究发现,ZoomInfo 的 GTM Studio 登陆页面存在广泛的预先同意追踪,尽管该平台被宣传为识别网站访客。在任何同意横幅出现*之前*,检测到超过 50 个追踪请求,包括与 Sardine.ai 合作的行为生物识别和 PerimeterX 的指纹识别。
当研究人员在 LinkedIn 上分享这些发现时,ZoomInfo 的 CEO 立即屏蔽了他们,没有提供任何回应或澄清。这份“证据包”详细介绍了技术分析,包括解码的配置,显示默认追踪鼠标移动和打字模式。
该报告强调了使用此类供应商可能存在的法律风险,并引用了潜在的 GDPR、CCPA 和 CIPA 违规行为。它警告说,依赖于可能非法获取的“意向数据”可能导致法律责任、客户诉讼和声誉损害。
核心信息:透明度至关重要。营销人员应审计其技术栈,了解供应商的做法,并优先考虑合规性,因为仅仅声称不知情可能不是有效的辩护。证据已公开提供,供验证和审查。
每日HackerNews RSS
## ZoomInfo 首席执行官阻止曝光生物识别追踪的研究人员
一位研究人员(SignalDr)记录了ZoomInfo的GTM Studio着陆页上的监控行为,并在通过Chrome DevTools揭示发现后被该公司的首席执行官阻止。该研究人员发现了广泛的预先同意追踪,包括通过Sardine.ai进行的行为生物识别和通过PerimeterX进行设备指纹识别,以及118个追踪域名。证据,包括HAR文件和代码分析,已在GitHub上公开 ([https://github.com/clark-prog/blackout-public](https://github.com/clark-prog/blackout-public))。
该事件在Hacker News上引发了关于帖子内潜在广告以及更广泛的隐私侵犯问题的讨论。一些评论员指出ZoomInfo的讽刺之处——在自身使用多种指纹识别供应商的同时,出售访客识别信息。人们对GDPR执行不力以及将商业利益置于客户隐私之上的趋势表示担忧。 还有人强调了现代网络上追踪的普遍性以及用户对脚本执行更大的控制的需求。
使用人工智能大规模审计 JDBC 驱动程序获得了 85000 美元的赏金。
Auditing JDBC Drivers at Scale with AI led to 85000 bounty
17 小时前
## Hacktron CLI 与 85,000 美元的漏洞赏金:一种新的漏洞研究方法
一位安全研究人员在以 JDBC 驱动程序为中心的漏洞赏金活动中,面临着紧迫的截止日期,他利用 Hacktron CLI 加速漏洞发现。在剩余的两天内,手动审计大量驱动程序以查找常见漏洞(RCE、SSRF 等)是不可能的。
Hacktron 被用作“副驾驶”,快速分析反编译的驱动程序源代码,使用了定制的、以漏洞为中心的“JDBC 驱动程序包”。它有效地识别了潜在的 sink 并追踪用户可控的输入,大大缩短了分析时间。
这导致发现了关键漏洞,包括 Databricks 驱动程序中的一个 RCE,源于本地文件暂存的缺陷 allowlist – 通过 Databricks 的 Volume 存储并与 Git 仓库克隆功能链式利用。 此外,还在 Exasol(任意文件读取)和 Teradata(命令注入,已披露)中发现了漏洞。
最终,Hacktron 在不同厂商的驱动程序中发现了多个漏洞,获得了 **85,000 美元的漏洞赏金**。 此次经验凸显了 LLM 辅助审计加速研究的潜力,使研究人员能够专注于创造性的利用,而不是繁琐的手动代码审查。 Hacktron CLI 目前正在招募早期用户:[https://app.hacktron.ai/signup](https://app.hacktron.ai/signup)
使用AI审计JDBC驱动程序,获得85000美元的奖励 (hacktron.ai)
14点 由 Mohansrk 4小时前 | 隐藏 | 过去 | 收藏 | 1评论
burnte 2小时前 [–]
我真的不情愿地说,页面顶部和底部的渐变效果会改变文本的可视性,非常分散注意力,我不得不搜索源代码禁用该CSS才能阅读文章。这太分散注意力了。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## 维基百科统一移动和桌面域名:提升性能与SEO 17年来,维基百科一直通过独立的移动域名(m.wikipedia.org)为移动用户服务,这在2008年是一种常见做法。然而,随着谷歌转向“移动优先”索引,实际上忽略了独立的移动网址,这种做法变得过时。这一变化导致来自谷歌的流量(维基百科浏览量的60%)页面加载时间**减慢10-20%**。 为了解决这个问题,维基百科在2023年10月统一了其移动和桌面域名。这消除了重定向,**使所有用户的移动响应速度提高了20%**。 此次更改也显著提升了SEO,特别是对于Wikimedia Commons,在启用站点地图后,谷歌的页面索引**增加了140%**。 除了性能和SEO之外,统一域名还解决了链接共享的UX问题,并**通过将CDN清除率减半来降低了基础设施负载**,每天节省数十亿次清除操作。 该项目展示了一次成功的现代化改造,使维基百科与当前的网络标准保持一致,并为用户和运营带来显著的益处。
## 维基百科统一移动和桌面域名
维基媒体最近解决了长期存在的不一致问题:以前移动维基百科链接(en.m.wikipedia.org)不会重定向到桌面网站(en.wikipedia.org),而反之则会发生。这意味着用户经常需要手动编辑网址才能在点击移动链接后查看桌面友好的版本。
一些人认为这项更改“迟了10年”,它消除了这种单向重定向。讨论显示,一些用户即使在桌面上也更喜欢移动维基百科界面,特别是由于过去桌面主题的可读性问题。
虽然一些开发者认为他们可以使用浏览器工具轻松模拟移动视图,但更改的主要驱动力似乎是改善用户体验和域名品牌,而不是开发者便利。用户还强调了在移动设备上链接到文章特定部分以及无法在折叠部分中搜索的持续问题。此次更新并未统一*布局*本身,尽管有人建议统一前端会是理想的选择。
Trail of Bits为LLVM 21开发了恒时编码支持,以保护密码学实现免受时序攻击——利用基于秘密数据的执行时间变化所造成的漏洞。编译器常常会以无意的方式优化代码,重新引入分支,即使在精心编写的恒时代码中也会产生这些时序侧信道。 为了解决这个问题,他们引入了`__builtin_ct_select`内在函数。这指示编译器在代码生成期间保持恒时行为,作为防止可能损害安全性的优化的屏障。该内在函数被转换为特殊的LLVM指令,确保该操作在所有编译阶段和架构(x86-64、i386、ARM、AArch64等)上保持恒时。 初步基准测试,与苏黎世联邦理工学院合作进行,表明性能开销最小,同时完全保留了恒时属性。这项工作已经受到Rust Crypto、BearSSL和PuTTY等项目的关注,为不太可移植的解决方法提供了替代方案。未来的计划包括扩展恒时内在函数套件,涵盖算术和字符串操作,并扩展对Rust、Swift和WebAssembly等语言的支持。
## LLVM 获得对加密代码的恒定时间支持
LLVM 正在实现恒定时间支持,以更好地保护加密代码免受旁路攻击。这些攻击利用基于数据的执行时间变化,可能泄露秘密信息。该新功能旨在消除导致这些时序差异的 CPU 行为。
然而,人们担心英特尔芯片可能会为了性能提升而覆盖 LLVM 的恒定时间优化。讨论强调了一种历史上的紧张关系:密码学家努力实现与数据无关的恒定执行时间,而编译器和 CPU 设计师则优先考虑速度,可能破坏安全措施。
核心问题在于难以在标准编程语言(如 C)中表达恒定时间意图。这种新的机制试图弥合这一差距,而无需改变语言标准。建议包括编译器内在函数或属性来定义恒定时间代码区域,但关于内存访问以及潜在的未来 CPU 行为变化(例如英特尔的 `cmov` 指令)仍然存在挑战。最终,在实际硬件上实现真正的恒定时间执行是复杂的,并且完全消除旁路攻击可能是不可能的。
## PinePhone 调制解调器破解:隐藏的 ADB Shell 一名开发者在 PinePhone 的闭源 Quectel EG25-G 调制解调器中发现了一个隐藏的 ADB(Android Debug Bridge)shell。系统日志中显示的一个特定密钥解锁了对调制解调器*内部*运行的完整 Linux 操作系统(版本 3.18.44)的访问权限。 使用 ADB,该开发者成功地在调制解调器的有限存储空间上部署并运行了一个静态 HTTP 服务器(darkhttpd),然后转发端口以访问直接托管在该设备上的博客。吞吐量测试显示通过 ADB 转发约为 10Mb/s。 然而,这一发现引发了重大的安全问题。许多调制解调器命令使用 `system()`,可能打开命令注入漏洞的大门。更关键的是,通过 ADB 获取 root 访问权限允许潜在的恶意软件持久存在——在主机操作系统重新安装后仍然存活,并能够进行通信/位置跟踪。虽然交互需要由 PinePhone 发起的 USB 连接,但风险仍然很大。这凸显了调制解调器设计中的潜在安全缺陷以及闭源组件在开源硬件中的更广泛影响。
一位Hacker News用户(xx_ns)分享了一个几年前的项目:直接在GPS/LTE调制解调器上托管博客。这个项目受到了最近HN讨论的启发。该项目涉及在调制解调器的操作系统上运行一个博客服务器,仅通过HTTP请求访问,从而最大程度地减少对操作系统的直接暴露。
一位评论者提出了使用旧内核版本可能带来的安全隐患。xx_ns回应说,有限的交互方式(仅HTTP请求)降低了风险。
进一步的讨论链接到相关项目,包括适用于Pinephones的开源固件,可以解决内核漏洞。另一位评论者戏谑地指出,该项目是计算机世界中“共生起源”的一个例子——系统的融合。用户还在他的博客上提供了一篇关于该项目挑战的回顾。
一辆从报废机中幸存下来的稀有GM EV1即将再次可以驾驶。
A rare GM EV1 saved from the crusher is going to be driveable again
18 小时前
通用EV1是一款20世纪90年代的先锋电动汽车,在汽车历史上备受争议。它最初是为满足加州ZEV指令而制造,但在游说活动软化法规后,通用汽车突然取消了该项目。与众不同的是,通用汽车*租赁*了EV1,但在项目结束后收回并大肆销毁了这些车辆,阻止车主购买它们——这一故事在纪录片《谁杀死了电动汽车?》中广为人知。
现在,一项非凡的项目正在进行中。一辆EV1(车辆识别码#278)——在被遗弃并拍卖后合法获得——正在被修复至可行驶状态。这辆车似乎是唯一一辆私人拥有且不受限制的EV1。
修复团队计划用现代组件替换已移除的电池和逆变器,包括定制的磷酸铁锂(LFP)电池组,目标续航里程超过200英里。尽管面临诸如挡风玻璃破碎等挑战,他们正在利用雪佛兰S10电动汽车的零部件。雄心勃勃的目标是在2026年11月14日——EV1推出30周年之际——让EV1再次行驶起来。
Hacker News 新闻 | 过去 | 评论 | 提问 | 展示 | 工作 | 提交 登录
一辆从压碎机中拯救的稀有 GM EV1 即将再次可驾驶 (electrek.co)
33 分,DamnInteresting 7 小时前 | 隐藏 | 过去 | 收藏 | 3 条评论
geoffeg 6 小时前 | 下一个 [–]
相关:https://news.ycombinator.com/item?id=45980608 回复
dang 5 小时前 | 父评论 | 下一个 [–]
评论已移动至此处。谢谢! 回复
idiotsecant 5 小时前 | 上一个 [–]
我有一个类似的型号,雪佛兰 S-10 EV,我正在进行类似的改造。S-10 EV 社区对任何不恢复到原始状态的操作都不太感兴趣,但当这些车辆变得如此古老时,你必须具备对原始硬件的真正专业知识才能接近维修。 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
数学家亚历克斯·伯恩斯坦研究图着色问题,具体来说,如何为由边连接的节点着色,使得相邻节点不共享颜色。这些问题根据“可测性”——着色集合的可量化程度——在描述集合论中进行分类。最初,伯恩斯坦专注于按颜色数量对这些问题进行“分层”(双色最简单,三色更复杂),但他在一次关于“分布式算法”的计算机科学讲座上,他的研究方向发生了转变。 他注意到一个惊人的平行:计算机科学家在分配Wi-Fi路由器的频率以避免干扰时,面临着类似的着色挑战,使用的是*局部*算法,即路由器只与邻居通信。这些算法的效率——它们需要多少步——似乎反映了集合论中可测图着色的阈值。 伯恩斯坦认为这两个领域之间存在着深刻的联系,甚至可能是等价关系。他正在努力证明,高效的计算机科学算法可以转化为无限图中的可测着色方法,这表明这些问题本身是根本相同的,只是表达方式不同。这可能会揭示一个潜在于这两个学科的统一结构。
## 黑客新闻讨论:数学、无穷与计算机科学
一篇最近发表在《量子》杂志上的文章,探讨了无穷数学与计算机科学之间的联系,引发了黑客新闻上的讨论。核心思想是基础数学概念与计算表示之间的联系。
用户们争论了这种联系的重要性,一些人指出这种联系在两个领域早已被理解。另一些人则戏谑地提到了像`node_modules`这样的实际“无穷”。一个主要的争论点在于无穷在数学本身中的作用——一些人认为它是一个有用的构造,而另一些人则认为它是不必要的,并且并不真正存在。
讨论还涉及了数学的基础系统,特别是策梅洛-弗兰克尔集合论(ZFC)与类型论。许多人认为类型论更适合计算机科学,因为它强调不同的数据类型,这与ZFC将所有事物表示为集合形成对比。然而,也有人捍卫ZFC的优雅和最简公理化方法,认为这是它被广泛使用的原因,即使它很抽象。
统一 1.0 发布
Unison 1.0
19 小时前
Unison Cloud 是我们用于部署 Unison 应用程序的平台。使用简单、熟悉的 API,从本地原型过渡到完全部署的分布式应用程序,无需 YAML 文件、节点间协议或部署脚本。在 Unison 中,您的应用程序和基础设施在同一程序中定义,让您完全通过代码管理服务和部署。
美国移民及海关执法局(ICE)正在大幅扩展其备受争议的移民追踪外包计划,将相关工作外包给私人监控公司。该计划最初被定位为一个价值1.8亿美元的试点项目,现在已转变为无上限项目,单个承包商的潜在收入可达2.8125亿美元——较之前的9000万美元上限大幅增加,并保证了最初的750万美元订单。 这些公司将负责通过拍摄住宅照片、记录活动和在工作场所蹲点等方式,核实被列为驱逐出境目标人员的家庭和工作地址,每次处理5万个案件。虽然承包商将不再直接访问ICE的内部数据库,但他们将收到包含敏感个人数据的导出案件资料包。 这一转变表明ICE将此视为一项长期投资,实际上创建了一个由私人公司运营、受公共监督有限的联邦执法“事实上的分支”。国土安全部尚未就这些变化发表评论。