《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 慘遭“開源”,數(shù)百萬Parler用戶數(shù)據(jù)全部泄露

慘遭“開源”,,數(shù)百萬Parler用戶數(shù)據(jù)全部泄露

2021-01-12
來源:安全牛
關(guān)鍵詞: Parler 數(shù)據(jù)泄露

  1.png

繼美國總統(tǒng)特朗普被Twitter,、Facebook和Instagram等主流社交媒體集體“封號”后,上周日,,特朗普的最后社交媒體陣地——美國社交應(yīng)用Parler也被亞馬遜,、谷歌和蘋果公司“拒絕服務(wù)”,但本周一更加驚人的消息從reddit社區(qū)傳出,,所有Parler用戶數(shù)據(jù)(包括參加國會抗議示威活動人員)已經(jīng)公開暴露,,任何人都可查詢。

  Parler是Twitter的競爭產(chǎn)品,,定位是服務(wù)那些對Twitter審查制度高度不滿的人群(包括特朗普),。

  2.png

  年僅27歲的Parler首席執(zhí)行官John Matze無論如何也想不到1月6日國會騷亂以來,在特朗普及其擁躉的號召下,,Parler會在短短一周內(nèi),,用戶數(shù)從從450萬用戶飆升到800萬,然后歸零,。

  Parler與特朗普一起,,被美國科技巨頭們“社死”了。但是隨著用戶數(shù)據(jù)的全體曝光,,Parler的麻煩顯然才剛剛開始,。

  Parler大規(guī)模數(shù)據(jù)泄露的“罪魁禍?zhǔn)住笔荰willio,這家為Parler提供2FA雙因素認(rèn)證服務(wù)(短信驗證)的企業(yè)與谷歌和蘋果公司一起,,停止了對Parler的服務(wù),,更糟糕的是身份保護(hù)服務(wù)提供商Okta也停止了對Parler的服務(wù),這意味著一場網(wǎng)絡(luò)安全災(zāi)難,。

  3.png

  本周一位獨立安全研究人員(@donk_enby)在Twitter上透露(下圖),,對Parler iOS應(yīng)用程序進(jìn)行了逆向工程,,發(fā)現(xiàn)了一個API端點(該應(yīng)用程序內(nèi)部用于獲取數(shù)據(jù)的網(wǎng)址),該站點使用了不安全的API密鑰(對于一個web站點這并不尋常),,而且由于Parler使用的第三方郵件服務(wù)和2FA認(rèn)證服務(wù)都已關(guān)閉,,任何人都可以創(chuàng)建用戶,而不必驗證電子郵件地址,,并且立即擁有一個登錄賬戶,,訪問用于傳遞內(nèi)容的登錄框API,并檢索出擁有管理員權(quán)限的賬號,。

  4.png

  然后,,用戶就能通過重置用戶密碼繞過2FA認(rèn)證、訪問管理員賬戶,,進(jìn)而枚舉所有Parler用戶已經(jīng)發(fā)布的帖子,、視頻、評論等內(nèi)容,。

  @donk_enby在后繼推文中透露,,已經(jīng)利用Parler的安全機(jī)制缺陷爬取了99.9%的Parler用戶數(shù)據(jù),包括100多萬條視頻,,并且已經(jīng)開始建立在線檔案(最終將存儲在https://archive.org/),。

  事實上,已經(jīng)有人開發(fā)了腳本,,創(chuàng)建了數(shù)百萬個偽造的管理賬戶,,用于通過眾包方式下載Parler的用戶數(shù)據(jù)。通過不間斷地創(chuàng)建管理員賬戶的方式,,攻擊者創(chuàng)建了一個稱為Warrior的Docker映像(基本上是虛擬機(jī)),,任何人都可以下載,并且啟動后能立即以協(xié)調(diào)一致的方式從Parlre收集數(shù)據(jù),。這有些類似當(dāng)年網(wǎng)民廣泛參與的SETI(搜索外星智能)計算力眾包項目,。

  所有這些(Parler用戶)數(shù)據(jù)、視頻,、圖像,、帖子、元數(shù)據(jù)(包括所有圖像和視頻的地理位置以及與發(fā)布賬戶的鏈接)(自周日午夜以來)已上傳到各種云盤中存儲,,以便以后由執(zhí)法機(jī)構(gòu)(清算違法分子),、公眾、開放源代碼情報社區(qū)進(jìn)行檢索,。

  換而言之,,Parler的所有用戶隱私數(shù)據(jù),包括已經(jīng)被用戶刪除的數(shù)據(jù),一夜之間變成了一個人人皆可訪問的“開源項目”,。

  安全人員指出,,Parler的代碼似乎有嚴(yán)重錯誤,,在郵件服務(wù)失效的情況下居然會選擇跳過密碼重置郵件,,這看上去更像是實驗環(huán)境的臨時代碼。而且這一步是Parler第一次曝出數(shù)據(jù)泄露事件,,去年11月420chan的開發(fā)者Aubrey Cottle就宣稱曾從一臺亞馬遜服務(wù)器商獲取了6.3GB的Parler用戶數(shù)據(jù),。

  截至發(fā)稿,存有Parler用戶數(shù)據(jù)的服務(wù)器已經(jīng)徹底關(guān)閉,,但Parler用戶數(shù)據(jù)大規(guī)模泄露事件目前還在持續(xù)發(fā)酵中,,以下安全牛拋磚引玉,提出幾個思考問題,,歡迎讀者在評論區(qū)留言點評:

  Parler事件的是否暴露了第三方web安全服務(wù)中一些此前并未被注意到的共性缺陷,?

  由于Parler在歐洲也有不少用戶,此次泄露事件會遭受GDPR懲罰嗎,?

  FBI,、DHS和FAA等美國政府機(jī)構(gòu)能否將泄露數(shù)據(jù)作為清算和起訴暴力抗議活動分子的合法依據(jù)。

  相當(dāng)一部分Parler“認(rèn)證用戶”上傳了駕駛證照片,,如此敏感的個人信息被大規(guī)?!伴_源”,這種“群體黑客”行為是否受到美國隱私法律的懲罰,?

  Parler用戶已經(jīng)“刪除的”數(shù)據(jù),,在數(shù)據(jù)庫卻“健在”并可在特殊情況下被訪問,這是云數(shù)據(jù)安全(服務(wù)水平協(xié)議)中一個格外值得重視與核實的問題,。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]