我黑入了 Monster Energy,你绝对想不到他们认为你长什么样
忘记锁门的能量饮料巨头
作为一名喜欢能量饮料的黑客,我决定调查 Monster Energy 的企业基础设施。我发现他们的系统完全暴露在外,并且做出了极其糟糕的安全决策。
Monster University:安全措施的坟墓
Monster University是Monster员工学习品牌知识的地方。我也在这里发现,将URL中的/login
改为/register
,似乎就是Monster所谓的“身份验证”。
注册表单虽然显示出来,但无法提交。于是,我直接查看了JavaScript代码,找到了实际的API接口。API 友好地告诉我,我的注册尝试中缺少了哪些字段。
一旦我直接调用 API 并填写了正确字段, boom,我成功登录。获得了怪物大学的完整访问权限,包括所有培训材料,其中包括这篇关于目标受众的绝对杰作:

这就是怪物认为你长什么样
我不是开玩笑。这是他们实际的品牌培训指南中的内容。根据Monster Energy的说法,他们的“核心品牌家庭消费者”是:
“Monster Green购物者很可能是年轻一代(Z世代/千禧一代/X世代)男性,收入较低且为白人(倾向于西班牙裔)。”
他们还附上了这张五个人穿着Monster装备的照片,看起来像是被困在营销摄影棚里。这就是Monster公司认为其平均客户的样子。我编不出来这些东西。
讽刺之处:他们自己的网络安全培训
最妙的是?Monster大学有一门从第三方供应商购买的网络安全课程。同一个没有身份验证的平台上,有课程教员工识别钓鱼攻击和基本安全知识:
在完全不安全的平台上举办关于网络钓鱼的网络安全课程,这种讽刺简直是_完美无缺_。
与此同时,在Monster公司:沃尔玛Zoom会议和“终极野兽”徽章
在探索Monster大学时,我发现了一些关于他们企业文化的有趣内容。你可以查看他们整个Zoom会议日程,甚至获取加入链接:
看看他们的员工成就系统——你可以通过完成各种任务获得从“BEAST”到“ULTIMATE BEAST”的徽章:
Beast Bux:怪兽公司的内部货币系统
但等等,还有更精彩的。我找到了一段视频,解释了他们的内部员工奖励系统“Beast Bux”。我不会展示培训视频,但
简而言之,员工每年会获得Beast Bux,并可以将其赠送给其他员工以示感谢。这些积分可以在他们的内部商店购买Monster商品:https://bleedgreenshop.monsterenergy.com/
真正的宝藏:暴露的内部文件系统
最令人不安的并非培训门户或有争议的客户画像功能,而是发现其OpenText API完全暴露且无需任何认证:
https://opentextapi.monsterenergy.com/opentext/search/?page=1&pageSize=1000&searchTerms=
该接口允许任何人搜索Monster的整个文件系统。无需密码,无需认证,毫无限制。
响应中会返回大量类似以下格式的JSON对象:
{
"id": "fe48838d8df3084c14f285ac1b7729833a8d607c",
"name": "How-To-Guide_Installing Aspera.pdf",
"fullUrl": "fe48838d8df3084c14f285ac1b7729833a8d607c",
"thumbnailId": "34141d2798622aac76eecf0a12ce737deab89a17",
"previewId": "62018cf35dd827f39df46dbf1192f40b1a823f95",
"mimetype": "application/pdf",
"dateLastUpdated": "2019-06-26T07:53:09",
"dateImported": "2017-08-22T16:20:18"
}
你可以将ID放入此URL中打开文件
https://opentextapi.monsterenergy.com/opentext/images/${id}
(别被URL中的“images”迷惑——它支持所有文件类型,而不仅仅是图片)
该API返回系统中所有文件的完整文档元数据、文件路径及直接下载链接。营销视频/图片、合同、内部文档,应有尽有。
更糟糕的是:ClickUp集成功能的灾难
在名为Kermometer的子域名(kermometer.monsterenergy.com
)上,我发现Monster将ClickUp集成到了其工作流程中,但他们犯了一个致命错误:他们直接在网站的JavaScript中暴露了管理员的私人账户令牌。
该令牌可让任何人:
- 访问其整个ClickUp工作区
- 查看所有私有文档和项目
- 自行加入工作区
- 可能修改或删除关键项目数据
为了证明其有效性,我自行加入了其工作区:
为了好玩,我编写了一个脚本,使用他们的管理员令牌将所有内容与自己共享:
别担心,我在证明漏洞后立即离开了他们的工作区。我不是想窃取Monster的秘密能量饮料配方之类的东西。
回应(或缺乏回应)
我曾直接联系Monster Energy讨论这些漏洞。但未收到任何回复。
他们确实修复了Monster University的注册问题,但我怀疑他们甚至没读过我的邮件——他们可能只是发现有人通过其故障系统注册,然后进行了补丁修复。
最后,我向ClickUp本身报告了Monster网站上暴露的令牌问题。他们调查后联系了Monster,并在不到一周内完成了修复。
但Monster呢?他们甚至从未承认过我的任何报告。正如你所见,他们整个文件系统API都处于完全开放状态。
截至本文撰写时,OpenText API仍处于活跃状态。
更新(同一天)
他们修复了漏洞
致Monster Energy
你们的能量饮料或许能“释放野兽”,但你们的安保系统显然在睡觉。
或许少花点时间创建刻板的客户画像,多花点时间保障基础设施安全?仅供参考。
另外,提供一个安全联系邮箱也不错。你知道的,以防下次发生类似情况。
本文文字及图片出自 I Hacked Monster Energy and You Won't Believe What They Think You Look Like
阅读这篇文章的感觉就像看到一个你并不特别喜欢的人被脱裤子,但又为他们感到难过,因为脱他们裤子的人是个更大的白痴。就像Monster根本不在科技行业。无论如何。我敢肯定他们100%外包开发。
我在一家不到25人的电子商务公司从事开发和IT工作。如果我们遇到文中提到的哪怕一半的问题,我都会告诉老板他应该考虑换掉我。我明白他们不是软件公司,但这些都是非常基本的问题。这些问题加上对已报告问题的无回应,让我怀疑高管层已经将IT降级到只剩下骨架团队,他们无法招聘或留住任何稍微合格的人员。一家规模如此之大的公司若出现这类问题,必然存在严重的管理问题。他们本应有足够的预算来做好基础工作,比如正确实现身份验证,或者至少不要犯这么多入门级错误。
不过,作者本人也显得相当傲慢。我对市场营销人员的好感度和普通软件开发者差不多,但他们对普通消费者的描述其实很正常。作者对普通消费者描述和 stock photo 的批评过于刻薄。他们并非说喝 Monster 的只有年轻白人男性,只是指出这是他们最大的市场和目标消费群体。他们内部说“嘿,顺便说一下,这是我们打算用营销努力瞄准的消费者群体”是有道理的,我读过的每份营销提案中都读到过类似的内容,只是针对不同的群体。
得知Monster的市值达$630亿后,我对他们确实少了一分同情。
你为何如此确信我们没有这些问题?
我完全不确定我们没有安全问题,无论我为哪家公司工作,做出这样的声明都是不可能的。我确信我们没有将API密钥硬编码到已发布的JavaScript中,或者根本不进行身份验证,也不验证账户注册端点。这些都是任何级别的测试都应该能发现的初级错误。PCI合规性并非我认为的软件安全最高标准,这类问题在审计中会失败(至少在我参与过的审计中是这样,当然也有人会草率通过)。因此,虽然我无法断言我们没有安全漏洞,但我非常确信我们不存在那些连渗透测试入门者都会关注的漏洞类型。
所以你对正在处理的URL有信心吗?
依我之见,楼主发布的这些内容虽然搞笑,但其实毫无价值。访问一些分析数据、培训材料和文件名列表毫无意义。虽然这些是相当业余的错误,但最终对系统毫无影响。
主要问题在于影响的传播路径,尤其是当获得ClickUp访问权限时。如果操作者怀有恶意,参与该平台可能迅速演变为社会工程学攻击,进而获取企业关键知识产权、员工姓名、联系方式以及访问更多系统。””
这绝非无关紧要。
我不会惊讶于他们没有回应,因为他们实际上没有人来处理此事。他们似乎无法填补(或保留)一些非常重要的IT职位:
https://recruiting2.ultipro.com/MON1009MECY/JobBoard/682eaab…
这可能因为他们不愿意提供足够的补偿。一分钱一分货,但这次形势逆转,是一家大型企业遭殃。
这可不是一家勉强维持生计的小店。这是一家具备巨额资产的大型企业,其CEO的净资产是同龄美国人中位数的四个数量级。他完全可以从个人腰包支付整个IT部门的费用,甚至不会察觉。
我并不为他们感到惋惜。
我不确定一家饮料公司花20万到50万美元雇佣几名安全人员能真正起到什么作用。谁来验证这些人的质量?
你也可以花钱请人验证你的雇佣。相比这种尴尬,20万到50万美元可能还算便宜
这种“尴尬”会让他们付出任何代价吗?
任何公司如何能以这种态度招聘到合格的人员?
你还记得“软件将吞噬世界”吗?
_每个_组织都是科技组织。
即使他们将101%的IT业务外包,Monster仍然稳如泰山。
这就是外包开发所带来的后果。大型企业继续追求这种愚蠢行为,最终只会自食其果。
这就像看着学校里的恶霸欺负那个对自己的兴趣充满热情的怪异孩子。这并不酷或强大,实际上只是可悲和可怜。
我第一次听说bobdahacker是在三周前,他的帖子也在HN上被置顶:https://news.ycombinator.com/item?id=44723773
“我违反了《计算机欺诈与滥用法》(CFAA),可能在过程中犯下了多项轻罪或重罪,我详细记录了所做的一切(附带截图),然后将记录发布到互联网上。”
为了作者的利益,我真希望他们不住在美国。
或者欧洲。或者英国。如果因违反各种“未经授权访问计算机”法律而被起诉,这三个司法管辖区都可能面临10年以上监禁加民事赔偿。即使只是浏览受保护的端点也构成刑事犯罪。发布任何信息更是严重犯罪。
备注:如果你是黑客:
发现漏洞后立即停止,不要超过证明漏洞存在的最小步骤。
记录,不要利用
负责任地报告
修复前不要发布。未经许可不要发布文件/图像。
意图不能免除责任:即使是“只是看看”也可能根据CFAA(美国)或CMA(英国)被起诉。
或者他们采取了足够的措施来保持匿名。
这类产品不会凭空出现在加油站的冷藏柜里,他们首先会确定目标人群,然后针对该群体设计专门的产品。他们决定针对年轻男性群体,因此推出了一款荧光绿色的能量饮料并命名为“Monster”。若他们决定针对60岁以上女性群体,产品设计将完全不同。
这不仅是对潜在购买者的被动描述,更是产品设计的蓝图。
无论如何,我倾向于认为,一款高度成功且广泛流行的消费品至少对自己的客户群体有一些基本了解,不像那个随意入侵他们网站的家伙,他似乎认为自己对一切都了如指掌,仅仅因为他懂一些技术。
当然,HN对此一无所知。
这实际上相当代表了我看到喝Monster饮料的人群。
由于大多数人收入较低,因此像Monster这样以高市场份额、低单价为主的加油站饮料公司,其最大客户群必然来自收入较低的群体,即较贫困的人群。唯一稍显新颖的信息是,该群体更年轻、以男性为主且倾向于西班牙裔。
这并不意味着高收入群体不喝这种饮料,甚至大多数人(尽管这可能不准确)。
值得注意的是,数据特指Monster Green,这是他们的全糖产品。Monster Zero也是一个相当大的产品,可能拥有略有不同的客户群。
哈哈。白色怪物在Z世代中相当受欢迎。我们中很多人不喜欢咖啡,但仍想摄入咖啡因,而白色怪物基本上是纯咖啡因,味道非常清淡。其他无糖能量饮料则有更强的酸味(如红牛)或更独特的口味。不过我还是很喜欢热带风味和椰子味的红牛。
绿色怪物饮料显然更受男性游戏玩家青睐,但白色、绿色、粉色、玫瑰色等怪物饮料在我这一代人中似乎更受欢迎,尤其是那些不属于男性游戏玩家群体的人。
个人而言,我现在更喜欢红牛,但随着年龄增长,我主要喝咖啡。
>绿怪兽,这是他们含全糖的产品
只想补充一点,据我所知,所有怪兽饮料都含有三氯蔗糖,即使它们也含有高果糖玉米糖浆或其他糖分。因为三氯蔗糖非常浓缩,所以含量很低,所以我通常会从成分表的末尾开始检查饮料是否含有它。NOS也在他们的常规饮料中添加了三氯蔗糖。我不知道他们何时做出这一改变,但我因此停止饮用Monster。我以前非常喜欢Mean Bean Java Monster。
我目前首选的能量饮料是蓝莓红牛,供其他人参考,如果有人在寻找口感更好的选择。
此外,像Rockstar这样的品牌在他们一半的口味中都添加了这种成分,所以你必须检查每一罐。尽管Killer Citrus是安全的(至少在我上次查看时,5年前是安全的),但Killer Grape却不是,尽管两者属于相同的亚类型。
我从未见过可靠的数据表明三氯蔗糖有害。可能我错了。如果你不介意提供来源,那将非常有帮助。还是说这只是个人敏感问题?我不是想打探隐私,只是对这个问题感到好奇。
对我来说,它尝起来很恶心,会破坏任何含有它的食物。我长期以来一直避免食用某些食物/成分(例如洋葱),因此在决定是否食用某物之前,我已经习惯了阅读成分标签,并且通常有点挑剔。
从另一个角度来看,我认为他们在非减肥饮料中添加人工甜味剂却不明确标注的做法相当可疑和不诚实。如果有人出售无糖饮料和含糖饮料,这两种饮料都不应该含有三氯蔗糖。
我听说某些人工甜味剂会杀死肠道细菌,但说实话我对此并不在意。如果我听说糖会这样,我也不会开始避免吃糖。
这对我来说完全有道理。我一生中大部分时间都避免吃洋葱。更重要的是,我同意隐藏人工甜味剂的添加是令人反感的。感谢你的回复——我非常感激。
考虑到他们对“年轻一代”的定义似乎包括X世代,这只是意味着“婴儿潮一代不喝这种饮料”。
> 也许应该少花点时间创建刻板的客户画像,多花点时间保障基础设施安全
这个人需要明白,Monster 是一家销售能量饮料的公司,而不是存储机密信息或管理关键基础设施的机构。他们拥有自己的品牌网络安全培训,这实际上比大多数公司都好。我不是说他们的基础设施不能改进,但别紧张。他们可能比其他组织有更高的风险容忍度,所以确实更容易暴露。
我认为文章作者应该寻求法律援助。
他们本就不该做这些事情,更不该以这种方式公开披露。
我年轻时也做过类似的事情,沉迷于那种掌控感,后来才明白在欧盟,即使只是尝试入侵系统也可能被视为计算机欺诈。
我幸运地没有因此遭受长期后果。
你可以随意吹嘘自己是“道德黑客”,但法律可能不会站在你这边——尤其是当你以这种幼稚的帖子形式公布有罪证据时。
道德黑客行为需要事先获得被黑客攻击组织的授权。此人完全是个小丑,且绝对违反了法律。
公开披露安全漏洞极为不负责任,在某些司法管辖区甚至可能违法。
虽然我理解作者曾试图联系Monster但未获回应,但公布漏洞细节及利用方法只会增加用户风险。这种做法鲁莽且有害。
通常做法是给公司足够时间沟通,待漏洞修复后再公开细节。但若公司拒绝沟通且不修复漏洞,实践中也常在设定时间后公开漏洞。本案中公司未进行任何沟通,且仅部分修复了问题。这里没有异常情况。
不常见的做法是将公司材料复制并发布到你的博客上。仅仅因为一扇门是敞开的,并不意味着你有权拿走材料并发布它们。
这需要你对知识产权有一定的尊重,而许多人认为这是不道德的
我曾在实践中看到过这种情况,涉及影响某些软件大量用户的漏洞。如果某个黑客发现微软Windows版本X或甲骨文数据库服务器版本Y存在安全漏洞,那么披露是美德,以便使用这些软件的人可以采取措施。这种推理似乎不适用于此。
我理解这是安全漏洞的标准操作流程:1. 向“受害者”报告安全漏洞 2. 与“受害者”协商缓解措施和公开时间表 3. 公开漏洞(安全研究人员希望其发现得到公开认可)
如果受害者不承认这一问题,就无法执行步骤2。因此安全研究人员会直接进入步骤3。
如果黑客掌握了步骤1中发送的邮件,他将没有问题。
OP在披露过程中泄露了不应包含在披露中的内部商业文件。看起来还泄露了部分员工的详细信息,这非常糟糕。
这些公司将罚款视为做生意的成本,每次泄露用户个人信息时,他们只是被轻描淡写地处罚一番,然后一笑置之,而高管们却因让某人写一份泪流满面的道歉信来装作受害者而获得奖金。
每次有人闹得足够大,迫使他们注意并解决问题时,我都感到高兴,因为礼貌和合法显然没有起到作用。
算了,别提那事了。如果公司对负责任的披露通知做出反应,那很好,但没有人有义务帮助大型企业修复他们的漏洞。用户面临的风险不是来自发现漏洞的人,而是来自公司不修复漏洞。
去他妈的负责任的披露,公司应该像其他人一样竞标0天漏洞。
通常不应公开自己入侵的公司信息。
另一方面,如果涉及某款软件,立即公开披露是合理且审慎的举措。这能让所有用户采取必要缓解措施,如关闭服务和服务器。
存在一个能力市场,即广泛使用的软件中的零日漏洞。它具有价值,有时价值数百万。
没有人会购买某个公共网站上的垃圾XSS漏洞。
这个论点偏离了重点。是的,公司有主要责任修复其漏洞,但这并不意味着可以随意发布漏洞利用。一旦漏洞被公开,受影响的不仅仅是“公司”,还包括依赖该系统的每一位客户、员工和合作伙伴。
说“去他妈的负责任披露”基本上就是在说“让我们伤害无辜用户直到公司妥协”。这不是 activism,这是附带损害。
如果有人真正关心问责制,有法律和道德的方式来施压公司。将0-day漏洞公之于众只会助长犯罪分子,而非帮助用户。
> 说“去他妈的负责任披露”基本上就是在说“让我们伤害无辜用户直到公司妥协”。这不是 activism,这是附带损害。
正确。我有充分的理由这么做。激进主义已经失败,必须采取后果。由于大多数人漠不关心,隐私的终结是不可避免的,只有当每个人都因输入任何个人信息的后果而深感困扰时,这种趋势才会停止。
> 如果有人真正关心问责制,那么通过法律和道德手段向公司施压是可行的。将0-day漏洞公之于众只会助长犯罪分子,而非帮助用户。
我可以列举成千上万个案例,其中要么没有问责,要么对公司而言微不足道,而对客户造成的损害却极为严重。大型企业没有问责机制,唯一解决办法是让人们真正关心。
不过,我们必须明确一点:根本问题并非有人意外在打印机上发现敏感文件,而是最初将文件留在打印机上的人。这就是根本失败,而由此产生的损害是留下文件的人的责任。
美国法律体系显然也认同这一点。你看内幕交易法就知道了。只要信息是通过其他途径获得的,比如在咖啡馆里无意中听到某个大嘴巴在公开场合谈论不当内容,你就可以利用内幕信息进行交易。
这是一个奇怪的披露帖子。
他们可能没有安全邮箱,但我确定在发布此类内容前,本可以联系某个部门。
我怀疑楼主是否真的尝试过,还是只是想借机攻击公司。
他们确实联系过对方,但没有得到回复。唯一回应的是ClickUp方面。
这是更完整原始版本的存档副本:
https://web.archive.org/web/20250823172249/https://bobdahack…
这似乎从信息披露越界到了分享公司文件……感觉有点像犯罪行为
披露本身也是犯罪,但不管怎样
我联系了那栋我发现未上锁的房子的主人,但没有得到回应,所以我还是自己进去了。
这些报告都是初级水平的黑客行为(我全都看过了)。除了让公司看起来不好外,你其实学不到什么,因为它们太简单了。
我忍不住想找到这个博客的主人,确保他们不会被聘用到安全行业。我们不需要这样的人在身边。
> 我忍不住想找到这个博客的主人,确保他们不会被聘用到安全行业。我们不需要这样的人在身边。
抱歉,作为那个“确保”某人不会被录用的人,你在我眼中就是我绝不会雇佣的人。希望在所有你哭诉着试图破坏这个人职业生涯的潜在雇主眼中也是如此。
每个人都曾是充满热情的初级员工。如果你不是,那是你的问题,不是这个人的问题。
> 抱歉,作为那个“确保”某人无法被录用的人,你在我眼中就是我绝不会雇佣的人。
是的,当时有一种“你在这座城市再也找不到工作了”的强烈氛围。很高兴我不是唯一一个察觉到这一点的人。
忽略他们的评论,这个人显然在行业内毫无影响力,只是想借机炫耀权力。
我会聘用这位安保专业人士到我的公司。
别开玩笑了,安保工作最不需要的就是这种态度。
或者:
当地购物中心的保安在商场实际关闭时没有锁门,我看到商场营业时间显示已关闭,但出于好奇还是进去了,因为我已经在那里了
因为你显然是那个有资格根据几篇博客文章来评判他人并毁掉别人生活的人。
我认为这其实非常可爱。他们的员工有游戏化的徽章,而且核心客户的照片看起来也非常棒。
我曾在有“积分”可以给其他同事的地方工作,但没有奖励。我真的很想用一些积分换取怪物周边商品。这几乎可以被解读为在Monster工作的广告
漏洞赏金计划的存在似乎误导了一些人,让他们认为只要在入侵系统后发送邮件通知,就可以随意入侵任何系统。事实并非如此。这篇文章等同于犯罪记录,作者明智的做法是将其删除。
与文章完全无关,但下次遇到那些认为Monster标志是撒旦象征的网络狂热分子时,你可以用以下方式戏弄他们:指出该标志实际上是乌加里特字母L——𐎍——而希伯来神明的原始名称之一是EL,因此Monster其实是神圣的饮品,而非撒旦象征。
我以为是相反的,即那个单独的标记被解读为6,所以是666?
多余!每个UPC条形码的开头、中间和结尾都有一个6。如果你有兽的印记,不如直接买Beast Bux。
他们对客户群的描述在我看来大多是准确的。我的白人青少年孩子很喜欢这些东西。
至于X世代,我就不太清楚了。X世代的常见定义是出生于1965年至1980年之间。作为全球所有X世代男性的代表,我觉得这些东西味道太甜了,不想冒着碳酸糖水导致A1C升高的风险。真糟糕!
可能有些历史背景。我是X世代——而且是X世代的早期成员。我记得是在2002年左右发现Monster的,那时能量饮料才刚开始流行。(Red Bull是唯一一款我记得在那之前见过很多的,除非你也算上Jolt,但即使如此,它也远没有今天这么普及。) 我尝试了所有能找到的能量饮料,而Monster是唯一一款味道不算糟糕的。顺便说一句,我认为西伯利亚人参是关键,它能与咖啡因的独特风味相辅相成。
因此,在那时,大多数消费者应该是X世代。千禧一代当时年龄在6岁到21岁之间,只有最年长的可能才会购买这类产品。Z世代尚未成为任何市场细分的一部分,而阿尔法世代甚至尚未出现。我们中的一些X世代人坚持了下来;到了60岁,我每天仍用一罐能量饮料代替咖啡,而我的所有检测结果都未显示任何不良影响。也许我们不再是主要消费群体,但我们无疑仍然存在。
那么……我们中谁能代表全世界的X世代男性发言呢? 😉
现在有无糖版本了。
我其实不像照片里的人,但确实想象过自己偶尔喝Monster饮料时会是什么样子,哈哈
有趣的是,这些正是他们在任何财报电话会议上乐于告诉你的内容(还有更多!)
这是客户画像。这是标准的营销理论。他们很可能清楚自己的客户是谁。
用户画像或人物角色是一个虚构的人物。“这个史蒂夫·多伊。他在建筑行业工作,29岁。他属于低收入群体,每周工作日都会在午餐时喝一罐Monster饮料”。
帖子中的例子是一个非常通用的目标市场。“Z世代,低收入群体”
关于此人披露所有这些信息的可疑选择,有很多评论。更糟糕的是,他们还导致一位朋友被麦当劳解雇,而他们似乎对此并不在意…… https://bobdahacker.com/blog/mcdonalds-security-vulnerabilit…
从这个人的反应可以看出,他从未接触过企业营销或广告工作,因为识别主要目标市场是行业标准操作,这在任何地方都是如此。真搞笑。
当然要关注安全问题,但或许应该更批判性地思考企业运作方式。
去看看喝怪兽饮料的人群,你就会发现他们的判断其实没错。
是的,或者把反钓鱼培训说得好像什么了不起的事情。整个帖子都让人尴尬,我认为。
嗯,我认为其中一部分只是为了制造一个更吸引眼球的标题。
只要公司不花钱雇佣合格的安全工程师,这类攻击就会一直发生。没人会同情那些能花钱做营销却不花钱在安全上的大型企业。
干得漂亮,bodahacker。我们期待你的下一期内容。
看起来很像一支电竞战队!
>“Monster Green的消费者很可能是年轻一代(Z世代/千禧一代/X世代)的男性,收入较低且为白人(倾向于西班牙裔)。”
这句话是什么意思?
像Monster和Redbull这样的公司本质上是营销公司,恰巧销售能量饮料。
这绝非他们凭空捏造的无意义人口统计数据。对你而言,这可能毫无意义,甚至可能具有冒犯性。
但对营销公司而言,这是一个具体“人群”,他们对产品和广告有良好响应。这决定了他们如何制作广告、如何定位目标、在哪些地理市场大力推广、赞助哪些活动等。
当他们将该人口统计数据定义为目标人群,并向其投入资本时,他们能获得迄今为止最高的回报。
当你不知道这些运作机制时,世界显得更加美好。
我认为其中蕴含着某种美感。努力理解你所处宇宙/世界/社会实际运作的方式,而非你希望它运作的方式,或许正是找到人生意义的关键。
我感觉,我对世界了解得越多,我就越擅长在这个世界中生活,但它也变得越不有趣。
我想你做个脑叶切除术会很开心吧?
你哪部分不明白?
可能是因为X世代更年轻吧?
这确实令人费解,但并不影响整个句子的语义。
说不定这份文件是二十年前的。
二十年前的文件让GenZ的提法变得模糊,因为按最宽泛的定义,最年长的GenZ也只有9岁。
跨越50年的时间跨度,将从Gen X到Gen Z的群体在任何时间点都归类为“年轻的Monster买家”都显得不妥。
(Z世代/千禧一代/X世代)
这涵盖了大约60年?
我认为更接近30年。可能有很多适龄男性,尤其是建筑行业。
X世代从60年代中期开始。千禧一代紧随其后,Z世代则在2010年代初结束这一范围。大约是50到60年。
嗯,他们的目标群体可以解读为“15到45岁”,从最年轻的X世代延伸到较年轻的Z世代。
具体指哪部分?指收入较低且可能为西班牙裔白人(而非非白人西班牙裔)的年轻男性。
这意味着营销人员将知道如何部署资金。
这意味着有些人仍然认为存在有意义的种族分类,认为皮肤较浅的人来自高加索地区,认为说西班牙语是一种“民族”,与“种族”无关。
此外,X世代(撰写本文时年龄在44至60岁之间)被视为“年轻”。
你绝对猜不到我看到这个标题时做了什么!
不管怎样,他们在LinkedIn上确实发布了一个系统管理员的职位空缺,其职责包括解决文件访问问题。作为雇主,这并非我喜欢的类型(我不喜欢能量饮料),但在这种情况下提一下似乎合适 🙂
我猜这篇博客的作者看起来是15-19岁,男性,可能是自闭症患者。
另外,他们可能需要更谨慎地处理《计算机欺诈与滥用法》(CFAA)相关风险,但他们看起来真的很年轻,所以我猜这是主要原因。
> 15-19岁
这也解释了他们对看起来完全正常的品牌企业培训的不熟悉。
你想让我对你的外貌和可能存在的发育障碍进行未经请求的分析吗?
这种能量感觉就像高中一样
无需人身攻击。
我对你解释你检测到的攻击是什么感兴趣。
我发现这条评论不必要地带有评判性,并对作者的 demographic/个性做出了肤浅且缺乏依据的假设,这有什么好感兴趣的?
哦请别这样——这只是诚实的评估而非人身攻击,而且很可能准确。你这么想更多反映了你自己而非我。
我更倾向于诚实的真相而非客套的谎言。
试图看清世界本貌比自欺欺人更好。
这是警察在对人进行身份识别时使用的同一套说辞吗?这实际上很荒谬。没关系,兄弟,你用你的“诚实真相”直言不讳。
如果他做出一个“深刻”的假设,你可能会更加愤怒。
“阿斯伯格症患者”这个词有着非常明显且常见的负面含义,就像“白痴”一样。
如果GP说作者可能是白痴,你还会这么困惑吗?
我猜这篇博客作者的样子是15-19岁男性,可能是阿斯伯格症患者。
这是在泛化。这就像我因为你的用户名是“pessimizer”就指责你是34岁得克萨斯州“脖子上留胡子”的MAGA支持者一样。
这有侮辱性吗?
作为一种修辞手法,这并不算。我是在解释个人攻击的本质。
作为实际的侮辱,假设并将其抛给某人就是攻击。如果所说的话尖锐地概括了大多数人或群体,那可能带有贬义。
顺便说一句,你完全错过了原问题的重点。 . .
将年轻或患有阿斯伯格综合症视为个人攻击,这是你的问题。
作者表现得就像刚黑入了一个威权政府账户……
这只是能量饮料,兄弟。没那么深奥。
我不明白为什么一个正常的内部资源系统会被描绘得如此荒谬。作者不知道“角色设定”吗?语气很奇怪。
有没有企业网络安全指南?
我可以理解他们因这些安全漏洞受到指责,但另一方面,我也没有想到一个他们应该使用的指南(显然他们现有的指南是不够的)
嗯,好吧?一家饮料公司认为他们的客户看起来像普通人?那又怎样?
虽然我不喜欢怪物,但这位作者听起来像个令人讨厌的人
我本希望看到每种怪物变种针对的具体目标群体分析!
这真是令人尴尬且不负责任。
披露安全漏洞如果对方不回应是可以的。但为了搞笑和博取网络关注而分享内部培训材料和照片,这纯粹是在耍流氓。
鲍勃需要找律师,因为这明显违反了《计算机欺诈与滥用法》(CFAA)。
“道德黑客”
……嗯……我认为这些词汇的含义可能与你想象的不同……
好奇作者当时服用了何种含咖啡因的饮料?
估计是红牛,考虑到他们的头像 https://bobdahacker.com/static/images/bobdahackerReal.png
哦天啊,这个头像比我预期的还要糟糕,但一点也不让我意外。
对一个完全标准的营销分段做出如此奇怪的反应。作者认为 Monster Energy Drink 的核心客户是谁?
这是帖子中的内容:
> “Monster Green的消费者很可能是年轻一代(Z世代/千禧一代/X世代)的男性,收入较低且为白人(倾向于西班牙裔)。”
帖子后半部分:
> 最可怕的部分不是培训门户,也不是有问题的客户画像。
有问题的客户画像只是对客户的基本研究。
说真的,我希望更多公司至少在内部能诚实地承认他们的客户是谁。如果像漫威这样的公司能认清自己的核心客户群体、接受这一点并为其制作产品,很多问题都能解决。
对客户群的基本理解本可以避免百威轻啤的丑闻。不过,我敢肯定,如果你是常春藤盟校出身的精英中上层阶级高管,认为自己需要迎合底层工人阶级男性的想法,肯定会让你感到不快。
我能想象漫威高管们想显得高雅或前卫,却不得不迎合“漫画书宅男”的处境,这一定很具挑战性。
这篇帖子也带有类似的精英主义色彩。毕竟,我们大多数科技从业者都倾向于类似的习惯,这与大多数高薪白领职业的情况可能相似。
优秀的营销人员清楚自己的核心受众是谁。而糟糕的高管则会忽视这些研究。
看着华纳兄弟在十年间未能吸取这一教训,最终才推出一部优秀的超人电影,坦白说有点超现实。
漫威非常清楚自己的受众是谁。问题在于迪士尼试图开拓新兴市场,因为传统受众群体已基本饱和。比如,根本无需向白人男性漫画迷群体推广复仇者联盟电影。
它从未饱和过。巅峰可能是灭霸。此后的一切都是在迎合一个从未存在过的以女性为主导的潜在观众群体。
这不仅仅是女性超级英雄的问题,这类角色一直存在且在一定程度上受欢迎(如《吸血鬼猎人巴菲》《古墓丽影》《Xena》等)。问题在于一种肤浅的女性赋权模式:女性角色被刻画得完美无缺,若有所谓的成长,也只是意识到自己本就完美,而世界需要改变。
以《惊奇女士》系列为例,她在获得超能力后短短几分钟内就能超越浩克。没有个人成长。而男性超级英雄通常需要克服障碍。蜘蛛侠必须学会“能力越大,责任越大”。蝙蝠侠必须不断与悲伤和道德准则抗争。钢铁侠则要对抗药物滥用和自私自利的本性。惊奇队长的故事线是什么?这根本不是好的叙事。
漫威的电影业务多年来一直由纽约的玩具业务部门掌控。[1]电影的制作旨在促进周边商品的销售。当电影收入足够庞大时,好莱坞最终摆脱了纽约总部“创意委员会”的控制。周边商品的核心受众是年轻男孩,这直接影响了电影的创作方向。
[1] https://www.goodreads.com/book/show/77264987-mcu
现在他们卖的周边商品少了,电影和电视剧的票房也大幅下降。那么,这到底对谁有利?
感谢你称X世代为年轻人。
我读到这段时也笑了。
他利用自己的“高级黑客知识”欺骗自己参与公司培训演习和令人沮丧的无聊活动。这让我笑了。
我希望他能骗自己大量购买Monster并向所有朋友推荐,以证明他们的目标受众是错误的。
这张图片有点傻,但列出客户群的 demographic 数据是很正常的。如果Monster的目标市场是65岁以上的女性,他们的营销策略会大不相同。
虽然用L'Oreal风格拍摄怪兽能量饮料广告会很有趣。
你不用想象。出于我无法理解的原因,怪兽能量饮料在同性恋圈子中已经成了网络迷因。
我有点惊讶照片中的人没有戴粉色耳机和猫耳。
真奇怪,作者认为公司从未试图了解他们的客户吗?
公司什么时候试图了解他们的客户?他们知道什么对谁有效,并继续为特定年龄段的世代重复这些内容。
文章甚至明确指出这一点。“Monster Green的消费者很可能是年轻一代(Z世代/千禧一代/X世代)的男性,收入较低且为白人(倾向于西班牙裔)。”
当你不再属于那个年龄段时,你就不再是他们的目标受众,他们也不在乎你是否购买;但事实上,他们从一开始就不在乎。
他们的开放文本API实际上主要是营销工具——事实上效果显著——我打算制作一些怪物蛋糕https://opentextapi.monsterenergy.com/opentext/images/ecde50… – https://opentextapi.monsterenergy.com/opentext/images/a1e8b8… 美味!谢谢!这是历史上第一次有人成功说服我购买东西
迈克·瓦佐斯基和詹姆斯·P·“苏利”·萨利文不是去MU了吗?
我看过一部关于他们的纪录片,他们被开除了 😉
这不是安全研究,而是未经授权的入侵。Monster 没有漏洞披露计划。在没有漏洞披露计划(VDP)的情况下试图获取未经授权的访问权限是完全非法的,即使你事后试图负责任地披露你的发现。坦率地说,你并没有负责任地披露你的发现,因为你在一些漏洞仍然存在的情况下发布了这篇文章。我估计你因为这篇文章有 5% 的几率会被送进监狱。
根据管辖权不同,可以辩称这并非未经授权的访问,因为文件和列表并未阻止任何人访问,实际上授权了任何请求文件的人。
对极普通的市场营销材料大惊小怪。
不是我。他们的“核心品牌家庭消费者”。我没有理由认为这是不准确的。
[删除]
我们已将此子线程从https://news.ycombinator.com/item?id=44997698中分离。
他们的个人简介中写道:
> 我是非二元性别倾向于女性,使用she/they/he代词。
虽然他们更倾向于使用女性代词,但明确表示男性代词也可接受。
哦,我的错。我收回刚才的话 🙂
那随便用什么都行吧……那时候用代词有什么用
[删除]
整个网络安全领域都是这样
这似乎不是个难理解的概念。他们是非二元性别者。他们不认同生物性别光谱的任何一端,因此对任何代词都无所谓。在接受跨性别者的社区中,即使你是顺性别者,即使你对任何代词都无所谓,提前列出你的代词也是常见的
列出几乎所有但并非全部的竞争性代词有什么意义?如果“它们都很好”,这如何帮助他人尊重他们的选择?
即使你是顺性别者,规范化提供和询问代词的做法对那些确实希望使用不同代词的人来说是件好事:
1. 这表明你尊重他人的性别,并且是一个安全的人,与之互动不会遇到我们经常看到的意外的跨性别恐惧症
2. 这会让偏执的人感到不快,也许随着时间的推移,这些人会意识到他们正在失去他们的斗争,也许开始接受他们实际上是混蛋,而代词对他们没有任何影响
正常化询问和提供代词的行为,能让使用代词的人感到更加自在,因为这种行为常常会遭到仇恨言论和嘲笑。
接受所有代词有时也表明,当他人改变代词时,你会感受到性别愉悦,因为这让你感到自己被视为一个超越生殖器的存在,并且你是一个以非二元方式表达自我的人。
这也可能是一种信号,即“嘿,我有点跨性别和酷儿,你会注意到这一点,所以我提前说明,不要对我抱有男性化的期待,尽管我拥有阴茎”
我真的不明白,为什么有人支持同性恋权利,却看不到与过去同性恋者经常遭受暴力、谋杀、歧视时之间的巨大相似性,当时人们可以公开说“同性恋是邪恶的,他们会绑架我们的孩子,他们会在地狱里燃烧”。
这只是性别刻板印象。不遵循这些刻板印象并不意味着你既不是女性也不是男性。这很荒谬。
“非二元性别”的问题在于,它所描述的世界观本质上是性别主义的。
黑客新闻管理员:出于法律原因,你们可能需要删除这个帖子 🙂