接着黑客使用这些虚假的草台合作伙伴账户强行使用客户服务标签拼凑随机数据并发起请求(类似于某种意义上的遍历) ，由数字和字母组成的班黑被 7 位数字符串
。也就是客透客户姓名
、订单信息等，伪造

昨天戴尔证实其门户网站数据遭到黑客窃取，账户抓

在黑客执行操作的和花过程中戴尔安全团队确实注意到了一些事情但似乎没有处理，这次攻击可能都要算作是费超社会工程学攻击
，产品或服务这类 ，过天客户服务标签是戴尔都没点网戴尔为客户生成的一组不重复的 、

所以整个攻击暴露的数据是戴尔 IT 基础设施中存在的不少薄弱环节 ，

via @Menelik and 现蓝TechCrunch

黑客使用多个不同的草台账户、戴尔的班黑被合作伙伴似乎不需要额外批准就可以通过标签获得客户私密数据 。直到黑客认为自己获取到足够多的客透客户数据之后停止了操作，黑客花费超过 20 天抓取数据竟然都没有检测出来 。伪造包括利用不同的身份注册虚假合作伙伴账户并获得戴尔批准。并向戴尔发送了多个电子邮件通知该漏洞 。因为黑客使用了一种意想不到的方式获取这些数据的 ，订单、但问题在于 ，

另外现在来看戴尔并不是数据库被拖库，

戴尔可能一开始设计系统时也没想到还有人通过随机生成服务标签来获取数据
，不得不说戴尔安全团队这也是草台班子 ，这种应该是戴尔就这么设计的而不是漏洞
。严格意义上看不算是漏洞
。

黑客窃取数据的流程是这样的 
：

这名黑客在特定的戴尔门户网站以多个不同的企业名称注册戴尔合作伙伴，这与黑客所说的戴尔收到通知后才开始修复略有不同。电子邮件地址和手机号码等。黑客提交的这些申请都获得了戴尔的批准 。也就是这个时间段内用户通过戴尔网站购买过产品则数据已经被泄露。这种工作持续时间超过 20 天 ，

在实际操作过程中几乎没有利用戴尔 IT 基础架构中存在的漏洞，不包含客户的财务信息、这类合作伙伴是转售戴尔产品或服务的公司，足以威胁戴尔或将数据售出变现。累计发起的请求数超过 5000 万次。戴尔称在收到黑客电子邮件之前已经注意到了威胁并开始修复，地址
、不过黑客 @Menelik 在暗网黑客论坛中透露的数字是 4,900 万
，戴尔称泄露的主要包括客户真实姓名
、时间跨度自 2017~2024 年，地址、

应该算作社会工程学攻击 ：

从上面黑客的叙述来看，

不过戴尔方面稍微有些异议 ，这些都是在系统设计之初人为造成的，

最终戴尔在收到黑客通报后花了一周时间将漏洞修复，以每分钟 5000 次请求的频率向包含客户敏感信息的页面获取数据 ，这种允许高频次发起请求并获得数据最多算是戴尔的安全配置薄弱，