Hacker News 中文摘要

RSS订阅

我们通过供应链攻击攻陷了X、Vercel、Cursor和Discord -- We pwned X, Vercel, Cursor, and Discord through a supply-chain attack

原文链接 | HN讨论 | 2025-12-19 04:31:54

文章摘要

文章揭露了一起针对X(推特)、Vercel、Cursor、Discord等数百家公司的供应链攻击事件,攻击者通过软件供应链中的漏洞成功入侵了这些企业的系统。

文章总结

供应链攻击实录:我们如何攻陷X(推特)、Vercel、Cursor、Discord等数百家企业

作者背景
16岁高中生Daniel,业余时间从事漏洞挖掘,曾向多家企业报告过近百个安全漏洞。

漏洞发现过程
1. Discord文档平台迁移
- 2025年11月7日,Discord将开发者文档迁移至AI驱动的Mintlify平台 - Daniel发现所有Mintlify托管站点(包括自定义域名)均存在/_mintlify内部接口

  1. 关键漏洞挖掘
    • 跨站文件读取:通过/_mintlify/static/[子域名]/[...路径]接口,可获取任意客户站点的静态文件
    • SVG脚本注入:攻击者上传含恶意脚本的SVG文件后,通过目标域名(如discord.com)加载该文件即可执行代码
    • 影响范围:包括Twitter、Vercel、Cursor等Mintlify所有客户(完整客户列表见mintlify.com/customers

时间线
- 11月9日:确认漏洞可利用性
- 协作验证:与其他安全研究员xyzeva、MDL共同发现多个关联漏洞
- 应急响应:Discord紧急下线文档服务2小时,回滚至旧平台

漏洞危害
- 单次点击即可窃取用户凭证
- 实现全站账户接管(Account Takeover)
- 典型供应链攻击案例,单点失效影响整个生态

处理结果
- 总计获得约11,000美元漏洞赏金(其中Discord支付4,000美元)
- Mintlify工程团队通过Slack快速响应修复

安全建议
- 企业应严格审查第三方服务的安全实现
- 关键业务系统需部署子域隔离等防护措施

(注:原文中的图片链接、GitHub操作界面等非核心内容已精简,完整技术细节可参考作者提供的朋友分析报告

评论总结

以下是评论内容的总结:

  1. 对漏洞赏金金额的不满
    多位评论者认为漏洞赏金金额过低,与漏洞的严重性不匹配。

    • "Cool bug. Bug bounty money is pathetic." (normie3000)
    • "$11k in bounties. Might have got more from the onion." (devrupt)

  2. 对SVG安全性的讨论
    评论者指出SVG文件可以包含脚本,导致安全隐患,许多平台因此限制SVG的使用。

    • "The fact that SVG files can contain scripts was a bit of a mistake." (dllu)
    • "SVG files are often banned from various image upload tools." (dllu)

  3. 对漏洞严重性的评价
    评论者认为该漏洞可能导致严重的账户控制问题,赏金金额不足以反映其风险。

    • "Seems like such a tiny amount of money for a bug that can be used to completely own your customers accounts." (padjo)
    • "This would have destroyed this company's reputation." (dfedbeef)

  4. 对现代科技公司的批评
    部分评论者批评现代科技公司过于注重功能开发而忽视安全性,尤其是AI初创公司。

    • "Man, it’s like everything I hate about modern tech." (llmslave2)
    • "Most companies are moving too fast feature farming to have any time for responsible security hardening." (lrvick)

  5. 对漏洞利用条件的疑问
    有评论者提出疑问,认为漏洞的实际利用条件可能有限。

    • "I fail to understand how this can be exploited, by whom and in what conditions." (JackSlateur)

  6. 对研究者的赞赏
    评论者称赞发现漏洞的研究者,尤其是其年轻年龄。

    • "Nice discovery and writeup. Let alone for a 16 yo!" (Illniyar)

  7. 对漏洞披露风险的讨论
    评论者提到漏洞披露过程中的潜在风险,以及赏金是否足以激励研究者。

    • "Finding bugs in the wild often gets wildly underpaid." (lrvick)
    • "Has there been cases where the risk involved wasn’t justified by the relatively low $4k reward?" (bluetidepro)

总结:评论主要围绕漏洞赏金金额过低、SVG的安全隐患、漏洞的严重性以及对现代科技公司的批评展开,同时包含对研究者的赞赏和对漏洞披露风险的讨论。