继美国总统特朗普之后Twitter、Facebook和instagram等主流社交媒体集体“封号”之后,特朗普在上周日的社交媒体阵地——美国社交应用Parler亚马逊、谷歌和苹果也被亚马逊、“拒绝服务”,但本周一更加惊人的消息从reddit社区传出,一切Parler任何人都可以查询用户数据(包括参加国会抗议示威活动的人员)。
Parler是Twitter竞争产品的定位是为那些服务Twitter对审查制度高度不满的人(包括特朗普)。
年仅27岁的Parler首席执行官John Matze在特朗普及其粉丝的号召下,无论如何也想不到1月6日国会骚乱以来,Parler短短一周内,用户数从450万飙升到800万,然后归零。
Parler与特朗普一起,美国科技巨头和特朗普一起,“社死”但随着用户数据的全面曝光,Parler麻烦显然才刚刚开始。
Parler大规模数据泄露“罪魁祸首”是Twillio,这家为Parler提供2FA与谷歌和苹果一起停止双因素认证服务(短信验证)的企业Parler更糟糕的是,身份保护服务提供商Okta也停止了对Parler服务意味着网络安全灾难。
本周一名独立安全研究人员(@donk_enby)在Twitter上披露(下图),对Parler iOS逆向工程中发现了应用程序API端点(应用程序中用于获取数据的网站)使用不安全的网站API密钥(一个web这个网站不寻常),因为Parler第三方邮件服务和2FA认证服务已经关闭,任何人都可以在不验证电子邮件地址的情况下创建用户,并立即拥有登录帐户,访问用于传递内容的登录框API,并检索具有管理员权限的账户。
然后,用户可以通过重置用户密码绕过2FA认证,访问管理员账户,然后列出所有Parler帖子、视频、评论等内容已由用户发布。
@donk_enby据后续推文透露,已被使用Parler安全机制缺陷爬行99.9%的Parler包括100多万视频在内的用户数据已经开始建立在线文件(最终将存储在内)https://archive.org/)。
事实上,有人开发了脚本,创建了数百万个伪造的管理账户,通过众包下载Parler用户数据。通过不断创建管理员账户,攻击者创建了一个名为管理员的账户Warrior的Docker图像(基本上是虚拟机),任何人都可以下载,启动后可以立即协调Parlre收集数据。这有些类似当年网民广泛参与的SETI计算力众包项目(搜索外星智能)。
所有这些(Parler用户)数据、视频、图像、帖子、元数据(包括所有图像和视频的地理位置以及与发布账户的链接)(自周日午夜以来)已上传到各种云盘中存储,以便执法机构(清算犯罪分子)、公众和开放源代码信息社区在未来搜索。
换而言之,Parler所有用户隐私数据,包括被用户删除的数据,一夜之间成为每个人都可以访问的数据“开源项目”。
安全人员指出,Parler代码似乎有严重的错误。当电子邮件服务失败时,它会选择跳过密码重置电子邮件,这看起来更像是实验环境中的临时代码。这一步是Parler去年11月首次曝光数据泄露事件420chan的开发者Aubrey Cottle声称从亚马逊服务器商那里获得了6.3GB的Parler用户数据。
截至出版,存有Parler服务器的用户数据已经完全关闭,但是Parler目前,用户数据的大规模泄露仍在发酵中。以下安全牛抛砖引玉,提出几个思考问题。欢迎读者在评论区留言:
- Parler事件是否暴露了第三方web安全服务中一些以前没有注意到的共性缺陷
- 由于Parler欧洲也有很多用户,这次泄露会遭受GDPR惩罚吗?
- FBI、DHS和FAA美国政府机构能否将泄露数据作为清算和起诉暴力抗议活动分子的合法依据。
- 相当一部分Parler“认证用户”上传驾照照片,如此敏感的个人信息大规模上传“开源”,这种“群体黑客”美国隐私法是否惩罚行为?
- Parler用户已经“删除的”数据,在数据库中“健在”在特殊情况下可以访问,这是云数据安全(服务水平协议)中一个值得特别关注和验证的问题。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看该作者更多好文