美国总统特朗普被推特、脸书、Instagram等主流社交媒体集体“封禁”后,上周日,特朗普最后一次社交媒体表态————美国社交应用Parler也曾被亚马逊、谷歌和苹果“拒绝服务”,但周一reddit社区传来更令人震惊的消息,Parler所有用户数据(包括参加国会抗议和示威的用户)已被公开裸露。任何人都可以查询。Parler是推特的竞品,定位服务于那些对推特审查制度高度不满的人(包括特朗普)。年仅27岁的ParlerCEOJohnMatze万万没想到,自1月6日国会骚乱以来,在特朗普及其支持者的号召下,Parler用户数在短短一周内从450万猛增。到800万,然后到零。帕勒和特朗普一起被美国科技巨头“死”了。但随着所有用户数据的暴露,Parler的麻烦显然才刚刚开始。Parler海量数据泄露的“罪魁祸首”是Twillio,这家为Parler提供2FA双因素身份验证服务(短信验证)的企业,与Google和Apple一起停止了对Parler的服务,更糟糕的是,身份保护服务提供商Okta也停止了为Parler提供服务,这引发了一场网络安全灾难。一位独立安全研究人员(@donk_enby)本周在Twitter上透露(下图),对ParleriOS应用程序进行逆向工程发现了一个API端点(应用程序内部用来获取数据的URL),该站点使用了不安全的API密钥(对于网站),并且由于Parler使用的第3方电子邮件服务和2FA身份验证服务已关闭,任何人都可以创建用户而无需验证电子邮件地址,并立即拥有登录帐户,访问用于登录框的API交付内容,并检索具有管理员权限的帐户。然后用户可以通过重置用户密码绕过2FA认证,访问管理员账户,然后枚举Parler用户发布的所有帖子、视频、评论等。@donk_enby在后续推文中透露,99.9%的Parler用户数据,包括超过100万条视频,已经利用Parler的安全机制漏洞被爬取,并开始构建在线存档(最终将存储在https://archive.org/).事实上,已经开发了脚本来创建数百万个用于众包Parler用户数据的假管理员帐户。通过不断创建管理员帐户,攻击者创建了一个名为Warrior的Docker镜像(本质上是一个虚拟机),任何人都可以下载并立即启动以协调方式从Parlre收集数据。这有点类似于当年网友广泛参与的SETI(SearchforExtraterrestrialIntelligence)算力众包项目。所有这些(Parler用户)数据、视频、图像、帖子、元数据(包括所有图像和视频的地理定位以及发帖帐户的链接)已上传(自周日午夜起)到各种云驱动器进行存储,以便以后依法检索执法(清理违规者)、公众和开源情报社区。也就是说,所有Parler的用户隐私数据,包括被用户删除的数据,一夜之间变成了一个人人都可以访问的“开源项目”。安全人员指出Parler的代码似乎有严重错误。在邮件服务失败的情况下,它会选择跳过密码重置邮件,这看起来更像是实验环境的临时代码。而这一步是Parler首次曝出数据泄露。去年11月,420chan的开发者AubreyCottle声称从亚马逊服务器提供商处获得了6.3GB的Parler用户数据。截至发稿,存储Parler用户数据的服务器已完全关闭,但Parler用户数据大规模泄露事件仍在继续。下面安全专家抛砖引玉,提出几个思考问题。欢迎读者在评论区留言:Parler事件是否暴露了一些第三方网络安全服务中以前没有被注意到的常见缺陷?由于Parler在欧洲也有很多用户,这次泄密会受到GDPR的惩罚吗?美国联邦调查局、国土安全部和美国联邦航空局等政府机构可以不使用泄露的数据作为法律依据来清算和起诉暴力抗议者。相当数量的Parler“认证用户”上传了他们的驾照照片。如此敏感的个人信息已经被大规模“开源”。这种“群盗”行为会受到美国隐私法的惩罚吗?Parler用户有“删除”的数据,在数据库“活着”,特殊情况下可以访问。这是云数据安全(服务水平协议)中值得特别关注和验证的问题。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
