慘遭“開源”,數百萬Parler用戶數據全部泄露
繼美國總統特朗普被Twitter、Facebook和instagram等主流社交媒體集體“封號”后,上周日,特朗普的最后社交媒體陣地——美國社交應用Parler也被亞馬遜、谷歌和蘋果公司“拒絕服務”,但本周一更加驚人的消息從reddit社區傳出,所有Parler用戶數據(包括參加國會抗議示威活動人員)已經公開暴露,任何人都可查詢。
Parler是Twitter的競爭產品,定位是服務那些對Twitter審查制度高度不滿的人群(包括特朗普)。
年僅27歲的Parler首席執行官John Matze無論如何也想不到1月6日國會騷亂以來,在特朗普及其擁躉的號召下,Parler會在短短一周內,用戶數從從450萬用戶飆升到800萬,然后歸零。
Parler與特朗普一起,被美國科技巨頭們“社死”了。但是隨著用戶數據的全體曝光,Parler的麻煩顯然才剛剛開始。
Parler大規模數據泄露的“罪魁禍首”是Twillio,這家為Parler提供2FA雙因素認證服務(短信驗證)的企業與谷歌和蘋果公司一起,停止了對Parler的服務,更糟糕的是身份保護服務提供商Okta也停止了對Parler的服務,這意味著一場網絡安全災難。
本周一位獨立安全研究人員(@donk_enby)在Twitter上透露(下圖),對Parler iOS應用程序進行了逆向工程,發現了一個API端點(該應用程序內部用于獲取數據的網址),該站點使用了不安全的API密鑰(對于一個web站點這并不尋常),而且由于Parler使用的第三方郵件服務和2FA認證服務都已關閉,任何人都可以創建用戶,而不必驗證電子郵件地址,并且立即擁有一個登錄賬戶,訪問用于傳遞內容的登錄框API,并檢索出擁有管理員權限的賬號。
然后,用戶就能通過重置用戶密碼繞過2FA認證、訪問管理員賬戶,進而枚舉所有Parler用戶已經發布的帖子、視頻、評論等內容。
@donk_enby在后繼推文中透露,已經利用Parler的安全機制缺陷爬取了99.9%的Parler用戶數據,包括100多萬條視頻,并且已經開始建立在線檔案(最終將存儲在https://archive.org/)。
事實上,已經有人開發了腳本,創建了數百萬個偽造的管理賬戶,用于通過眾包方式下載Parler的用戶數據。通過不間斷地創建管理員賬戶的方式,攻擊者創建了一個稱為Warrior的Docker映像(基本上是虛擬機),任何人都可以下載,并且啟動后能立即以協調一致的方式從Parlre收集數據。這有些類似當年網民廣泛參與的SETI(搜索外星智能)計算力眾包項目。
所有這些(Parler用戶)數據、視頻、圖像、帖子、元數據(包括所有圖像和視頻的地理位置以及與發布賬戶的鏈接)(自周日午夜以來)已上傳到各種云盤中存儲,以便以后由執法機構(清算違法分子)、公眾、開放源代碼情報社區進行檢索。
換而言之,Parler的所有用戶隱私數據,包括已經被用戶刪除的數據,一夜之間變成了一個人人皆可訪問的“開源項目”。
安全人員指出,Parler的代碼似乎有嚴重錯誤,在郵件服務失效的情況下居然會選擇跳過密碼重置郵件,這看上去更像是實驗環境的臨時代碼。而且這一步是Parler第一次曝出數據泄露事件,去年11月420chan的開發者Aubrey Cottle就宣稱曾從一臺亞馬遜服務器商獲取了6.3GB的Parler用戶數據。
截至發稿,存有Parler用戶數據的服務器已經徹底關閉,但Parler用戶數據大規模泄露事件目前還在持續發酵中,以下安全牛拋磚引玉,提出幾個思考問題,歡迎讀者在評論區留言點評:
- Parler事件的是否暴露了第三方web安全服務中一些此前并未被注意到的共性缺陷?
- 由于Parler在歐洲也有不少用戶,此次泄露事件會遭受GDPR懲罰嗎?
- FBI、DHS和FAA等美國政府機構能否將泄露數據作為清算和起訴暴力抗議活動分子的合法依據。
- 相當一部分Parler“認證用戶”上傳了駕駛證照片,如此敏感的個人信息被大規模“開源”,這種“群體黑客”行為是否受到美國隱私法律的懲罰?
- Parler用戶已經“刪除的”數據,在數據庫卻“健在”并可在特殊情況下被訪問,這是云數據安全(服務水平協議)中一個格外值得重視與核實的問題。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
