整理 | 郑丽媛
出品 | CSDN(ID:CSDNnews)
上周,美国开源社交网络服务平台 Gab ,因其 CTO 写的低级 Bug 受到黑客攻击,导致约 70GB 的数据被窃取。
可该公司开发者还没完全修复其易受攻击的代码,本周一,黑客又进行了第二次入侵,甚至 Gab 创始人兼 CEO Andrew Torba 的账号也被盗了。这具体是怎么回事?
CEO 被盗号
当地时间 3 月 8 日,Andrew Torba 的 Gab 账号突然发布了一则帖子,指责身为 Gab 的 CEO, Torba 在面对泄露事件时,甚至不愿意支付 8 个比特币(据 3 月 9 号汇率,约 43 万美金)来赎回用户的隐私信息:
Gab 使用者们,你们泄露的验证文件对他们来说甚至不值 8 个比特币。他们根本不关心你们这一万八千人。
这篇帖文一发,鉴于 Torba 在 Gab 上拥有 280 万粉丝的强大影响力,许多人都得知了 Gab 在第一次被黑之后,黑客与 Gab 之间的这个谈判条件。此外,这位不知名的黑客还指责 Torba 没有公布第一次遭入侵的全部范围。
据上周一爆料组织 Distributed Denial of Secrets(简称 DDOSecrets)所公开的泄露数据,70GB 中包括 7 万多条信息、4000 多万条帖子,以及哈希密码、明文密码、用户个人资料等。但随后 Torba 重新夺回账号,发表的声明中提到了之前没有公布的泄露内容——用户的 OAuth2 Bearer Token(在用户成功登录网站后,OAuth2 Bearer Token 将存储在浏览器和移动应用程序中)也被黑客获取了。
PS:
OAuth2 是一种授权认证,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息;
Token 是计算机身份认证中的术语,为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,这个验证信息就是 Token。
第二次被黑的缘由
在黑客发布以上帖文之后,Gab 立即关闭了网站并删除该帖文。经历几个小时的紧急维修后网站才恢复,Torba 本人也第一时间发布声明,简单解释了本次网站被黑的缘由:网站管理员没有完全清除与上次被黑客攻击相关的所有 Token。
Torba 表示,由于上次黑客还窃取了用户用于身份验证的 Token,而 Gab 工作人员并没有及时将这些被窃取的 Token 完全清除,因此这次黑客就利用了这些还没被处理的 Token 在 8 分钟内发布了 177 个帖子。
据外媒 Arstechnica 报道,Gab 未能全部清除原始 Token 可能是因为对该站点运行的开源 Mastodon(一个免费的开源社交网络程序和商业平台的替代方案,避免单个公司垄断沟通的风险)代码不熟悉,也可能是不想要求用户重置 OAuth2 Bearer Token 引起麻烦,毕竟在起初 DDOSecrets 公布的泄露数据中并不包含这一项。
可是这个猜测似乎站不住脚,因为一般网站被黑客盗取用户数据后的标准处理方法就是,强制所有用户重置密码。网络安全顾问 Troy Hunt 对此提出怀疑:“从他们上周发布的报告看来,我认为他们(Gab 的工作人员)根本不知道这些数据被窃取了。”
网友:见鬼!
这是 Gab 网站数周以来第二次被黑,在第一次发生被黑事件时,就被指出该漏洞是网站 CTO Fosco Marotto 提交的一份代码中犯下的低级错误所导致。虽然 Gab 方面拒绝透露这个漏洞是否是黑客利用它来入侵网站的,但在网站第一次被黑后不久,Gab 就直接删除了这份 CTO 提交的代码,真相似乎昭然若揭。
在这次网站又被黑,Torba 发表声明后,再次引起了众多网友的热议。
评论 1:所以网站被破坏了;数量未知的数据被窃取;Gab 管理员没有让所有身份验证 Token 失效吗?见鬼,如果我是网站管理员的话,这是我在把网站上线之前要做的第一件事。
评论 2:很明显,掌管 Gab 的人并不擅长他们的工作。
评论 3:所以,“能说会道”指的是,只要网站存在,安全编辑就永远不用担心素材不够用。
评论 4:我认错,比特币是有用的。
对这次由于 CTO 写的低级 Bug,导致风波再起的 Gab 被黑事件,你有什么看法吗?欢迎评论区留言!
参考链接:
https://arstechnica.com/information-technology/2021/03/gab-a-haven-for-pro-trump-conspiracy-theories-has-been-hacked-again/
☞百度一 29 岁程序员因“篡改数据”被抓☞“无语!只因姓 True,苹果封了我的 iCloud 账户”☞阿里员工发帖吐槽人不如驴:你不能一边抽我,一边问我爱不爱你?☞太飒了!这届乘风破浪的 IT 女神写得了代码、撕得掉年龄、跨得过行业!
