研究人员利用供应链攻击入侵 35 家科技公司

标签: 研究 利用 供应链 | 发表时间:2021-02-10 23:39 | 作者:
出处:https://www.solidot.org
一位安全研究员设法利用一种新颖的软件供应链攻击 入侵了 35 家大型科技公司的内部系统,这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。这次攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱。Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本?为了测试这一假说,他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目,每个项目都包括了相同的说明,解释软件包不包含任何有用的代码,只是用于安全研究目的。他发现,公开的软件包会比私有的软件包优先度更高;某些情况下版本更高的软件包优先度更高,无论私有还是公开。利用这一方法,他成功入侵了多家知名科技公司,获得了超过 13 万美元的漏洞报告奖励。

相关 [研究 利用 供应链] 推荐:

研究人员利用供应链攻击入侵 35 家科技公司

- - 奇客Solidot–传递最新科技情报
一位安全研究员设法利用一种新颖的软件供应链攻击 入侵了 35 家大型科技公司的内部系统,这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber. 这次攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱. Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本.

深度解析电商供应链

- - 品途网
投身新时代的商业,你得学会从供应链出发看问题. 本文将告诉你:供应链管理由何而来;供应链是什么;在这个电商兴起的时代,供应链上哪些问题值得关注. 我们相信,从供应链的视角来观察商业流程,作为电商从业者的你,将会从中获得启发. 自20世纪中叶“科学管理”思想兴起以来,企业管理模式经历了从独立经营到纵向一体化,再到供应链管理的三个过程.

O2O供应链系统架构设计

- - 美团技术团队
本文是美团技术沙龙第一期, O2O技术架构与实践上的分享内容. 请在微信搜索“美团技术团队”关注我们的公众账号,了解更多活动信息. 英国知名供应链专家Martin Christopher曾经说过一句非常深刻的话:“21世纪的竞争不是企业和企业之间的竞争,而是供应链和供应链之间的竞争. 在风云变幻、寡头纷争的O2O战场,美团屡出重拳并步步为营,战绩不俗.

美研究人员发现疑犯可利用按键余热盗取密码

- Hans - cnBeta.COM
据大众科学网站8月30日报道,加州大学圣地亚哥分校的安全研究人员最近发表论文指出,用户在自动柜员机(ATM)键盘上输入的密码数字,会在交易完成后 以手指余热的方式留下痕迹. 紧随而至的不法分子,能利用数码红外照相机确认前位用户输入的是哪些数字,辨识精确度高达80%. 科研人员在美国高等计算机系 统协会(USENIX)的技术论坛中阐述了此项研究的相关细节.

利用选择题进行信息关注度研究案例解析

- - 所有文章 - UCD大社区
如果我们想知道浏览某个页面的用户到底在看些什么. 一般往有如下几种方法:1.查看点击流数据,如CTR(Click through rate,点击转化率/点选率)、点击热图(Heat Map,可用于测试不同的布局方式、配色方案等对整体效果造成的影响);2.眼动测试,可得到用户的注视轨迹、某一区块的注视时间、注视点个数、回扫次数,及注视热图等.

谷歌坐拥摩托移动全球供应链及工厂

- Nanqi - cnBeta.COM
亨利・布罗基特(Henry Blodget)为Businessinsider撰文,称谷歌收购摩托罗拉移动后,不但获得了大把专利,还获得了规模庞大的硬件设施业务,其工厂与分销机构遍布全球. 原文如下:谷歌一共获得了多少家工厂.

泰国洪水冲乱硬盘供应链

- 洞箫 - cnBeta.COM
一些国际电子市场顾问担心,泰国持续洪水可能对全球硬盘供应链产生影响,进而短期推高全球个人电脑价格. 法新社29日公布数据显示,全球大约40%的硬盘在泰国生产,使泰国成为仅次于中国的全球第二大硬盘生产地. 在过去一个月内,泰国洪水持续泛滥,侵袭中部地区多个大型工业园区,几乎所有国际知名品牌硬盘厂家设在泰国的工厂先后停产.

电商进化论:京东供应链是如何炼成的

- - 博客园_新闻
《创京东》这本书我翻看了一下,出我意料,本以为是为刘强东背书和造神的一本书,翻阅一下发现这本书更像是一本电商史记或创业攻略,文风比较简洁真实,没有太多的修饰语,基本上原汁原味地呈现了刘强东的十二年创业之路. KPCB 合伙人周炜(2011 年投资京东近 1 亿美金)先生这样评价老朋友刘强东,“如果你不跟刘强东直接打交道,你很难理解刘强东为什么这么强”,今日资本徐新(京东早期投资人)说“创业者要做品类杀手,刘强东有杀手本能,老刘作对了两件事,一个是自建物流仓储,一个是扩张品类”.

Spark技术在京东智能供应链预测的应用

- - IT瘾-bigdata
前段时间京东公开了面向第二个十二年的战略规划,表示京东将全面走向技术化,大力发展人工智能和机器人自动化技术,将过去传统方式构筑的优势全面升级. 京东Y事业部顺势成立,该事业部将以服务泛零售为核心,着重智能供应能力的打造,核心使命是利用人工智能技术来驱动零售革新. 1.1   京东的供应链. 京东一直致力于通过互联网电商建立需求侧与供给侧的精准、高效匹配,供应链管理是零售联调中的核心能力,是零售平台能力的关键体现,也是供应商与京东紧密合作的纽带,更是未来京东智能化商业体布局中的核心环节.