Stack Overflow是一个受开发者欢迎的网站，它揭露了一个长达一周的漏洞https://www.zdnet.com/article/stack-overflow-hacker-go-undetected-for-a-week/“target=”\u blank“>于2019年5月披露，Stack Overflow称当时攻击者访问了用户帐户数据，现在公司称在咨询了执法部门之后，它可以透露更多关于发生了什么以及一个新注册的用户是如何获得版主级和开发人员级访问权限的信息。

去年，Stack Overflow表示，它已经发现了“攻击者发出的特权web请求，这些请求可能返回了IP地址、名称和，或为极少数Stack Exchange用户发送电子邮件。“

根据品牌的最新更新，这名黑客访问并窃取了源代码，但它说，这一漏洞只影响了184名用户。

“一个没有人认识的用户在Stack Exchange网络的所有站点上都获得了版主和开发人员级别的访问权限。我们的即时反应是取消特权并暂停这个帐户，然后启动一个进程来识别和审计导致事件的行为，Stack Overflow的Dean Ward说。

Ward说特权的升级只是“冰山一角”，公司很快发现了更多的问题，包括源代码的外泄。此外，该漏洞还暴露了Stack Exchange网络上184个用户的电子邮件、实名、IP地址的详细信息。

“谢天谢地，没有一个既不是公共数据库（阅读：Stack Exchange内容）也不是私有数据库（团队、人才或企业）被过滤掉。此外，还没有证据表明任何人可以直接访问我们的内部网络基础设施，攻击者也从来没有访问过团队、人才、，或企业产品。”

Ward提供了从4月30日（攻击者开始探测其构建和源代码控制系统的日期）到5月22日（堆栈溢出通知受影响用户数据泄露的日期）攻击者活动的说明。该账户描述了5月份在数周内实施的泄露技术和技术攻击。

5月1日，有人冒充Stack Overflow的企业客户提交了一份审计源代码副本的请求。该公司拒绝了这一请求，因为它没有提供源代码。

第二天，攻击者利用一个伪造的客户电子邮件地址，提出了一个堆栈溢出的支持票证。此攻击途径是在Stack Overflow向电子邮件被欺骗的客户发送自动回复后发现的。

到5月3日星期五，攻击者开始攻击Stack Overflow的面向公众的基础结构，到星期天，攻击者能够成功登录到开发层。

“我们的开发层被配置为允许出于测试目的模拟所有用户，攻击者最终会找到一个允许他们将其权限级别提升到社区管理器（CM）权限级别的URL。这个访问级别是站点管理员可用访问权限的超集，”Ward解释说。

之后，攻击者使用站点的帐户恢复功能恢复对开发人员帐户的访问。攻击者无法截获恢复电子邮件，但可以使用开发人员层上向社区管理员显示电子邮件内容的功能。攻击者使用此功能获取重置凭据的链接。

“这会被使用，攻击者在开发环境中获得开发人员级别的权限。在这里，他们还可以访问“站点设置”（site settings）——一个设置（功能标志）的中央存储库，用于配置站点中的许多功能，”Ward写道。

值得肯定的是，Stack Overflow登录到其GitHub Enterprise实例时受到双因素身份验证的保护。但是到了5月9日星期四，攻击者从Stack Overflow中提取了更多存储库，然后尝试使用Microsoft Azure中的虚拟机使用以前获取的凭据连接到站点的VPN。

然后攻击者开始使用Stack Overflow自己的知识库来学习如何在Azure中构建.NET应用程序和运行SQL数据库脚本稍后将用于攻击堆栈溢出。最终，攻击者创建了一种方法，使用SQL提升整个堆栈交换网络的权限。

“经过多次尝试，他们能够对包含堆栈交换网络数据的生产数据库构建一个SQL迁移来执行此操作，”Ward说。

“在执行SQL后不久，社区通知我们有异常活动，我们的事件响应团队开始调查。”

Stack Exchange工程师不知道攻击的程度，但进一步调查显示，TeamCity的一个帐户被泄露，随后被禁用。最终，TeamCity完全离线。

“一旦我们发现升级路径涉及开发人员和使用站点设置获取凭据，我们就提交代码删除这些路径，特别是用于查看帐户恢复电子邮件的工具和用于危害TeamCity服务帐户的站点设置，“notes Ward.

StackOverflow的分析还包括一组对其他人的建议：

新的谷歌云服务旨在为网络带来零信任安全性