信息化觀察網(wǎng)

繼美國(guó)總統(tǒng)特朗普被Twitter、Facebook和Instagram等主流社交媒體集體“封號(hào)”后，上周日，特朗普的最后社交媒體陣地——美國(guó)社交應(yīng)用Parler也被亞馬遜、谷歌和蘋(píng)果公司“拒絕服務(wù)”，但本周一更加驚人的消息從reddit社區(qū)傳出，所有Parler用戶數(shù)據(jù)（包括參加國(guó)會(huì)抗議示威活動(dòng)人員）已經(jīng)公開(kāi)暴露，任何人都可查詢。

Parler是Twitter的競(jìng)爭(zhēng)產(chǎn)品，定位是服務(wù)那些對(duì)Twitter審查制度高度不滿的人群（包括特朗普）。

年僅27歲的Parler首席執(zhí)行官John Matze無(wú)論如何也想不到1月6日國(guó)會(huì)騷亂以來(lái)，在特朗普及其擁躉的號(hào)召下，Parler會(huì)在短短一周內(nèi)，用戶數(shù)從從450萬(wàn)用戶飆升到800萬(wàn)，然后歸零。

Parler與特朗普一起，被美國(guó)科技巨頭們“社死”了。但是隨著用戶數(shù)據(jù)的全體曝光，Parler的麻煩顯然才剛剛開(kāi)始。

Parler大規(guī)模數(shù)據(jù)泄露的“罪魁禍?zhǔn)?rdquo;是Twillio，這家為Parler提供2FA雙因素認(rèn)證服務(wù)（短信驗(yàn)證）的企業(yè)與谷歌和蘋(píng)果公司一起，停止了對(duì)Parler的服務(wù)，更糟糕的是身份保護(hù)服務(wù)提供商O(píng)kta也停止了對(duì)Parler的服務(wù)，這意味著一場(chǎng)網(wǎng)絡(luò)安全災(zāi)難。

本周一位獨(dú)立安全研究人員（ donk_enby）在Twitter上透露（下圖），對(duì)Parler iOS應(yīng)用程序進(jìn)行了逆向工程，發(fā)現(xiàn)了一個(gè)API端點(diǎn)（該應(yīng)用程序內(nèi)部用于獲取數(shù)據(jù)的網(wǎng)址），該站點(diǎn)使用了不安全的API密鑰（對(duì)于一個(gè)web站點(diǎn)這并不尋常），而且由于Parler使用的第三方郵件服務(wù)和2FA認(rèn)證服務(wù)都已關(guān)閉，任何人都可以創(chuàng)建用戶，而不必驗(yàn)證電子郵件地址，并且立即擁有一個(gè)登錄賬戶，訪問(wèn)用于傳遞內(nèi)容的登錄框API，并檢索出擁有管理員權(quán)限的賬號(hào)。

然后，用戶就能通過(guò)重置用戶密碼繞過(guò)2FA認(rèn)證、訪問(wèn)管理員賬戶，進(jìn)而枚舉所有Parler用戶已經(jīng)發(fā)布的帖子、視頻、評(píng)論等內(nèi)容。

 donk_enby在后繼推文中透露，已經(jīng)利用Parler的安全機(jī)制缺陷爬取了99.9%的Parler用戶數(shù)據(jù)，包括100多萬(wàn)條視頻，并且已經(jīng)開(kāi)始建立在線檔案（最終將存儲(chǔ)在https://archive.org/）。

事實(shí)上，已經(jīng)有人開(kāi)發(fā)了腳本，創(chuàng)建了數(shù)百萬(wàn)個(gè)偽造的管理賬戶，用于通過(guò)眾包方式下載Parler的用戶數(shù)據(jù)。通過(guò)不間斷地創(chuàng)建管理員賬戶的方式，攻擊者創(chuàng)建了一個(gè)稱(chēng)為Warrior的Docker映像（基本上是虛擬機(jī)），任何人都可以下載，并且啟動(dòng)后能立即以協(xié)調(diào)一致的方式從Parlre收集數(shù)據(jù)。這有些類(lèi)似當(dāng)年網(wǎng)民廣泛參與的SETI（搜索外星智能）計(jì)算力眾包項(xiàng)目。

所有這些（Parler用戶）數(shù)據(jù)、視頻、圖像、帖子、元數(shù)據(jù)（包括所有圖像和視頻的地理位置以及與發(fā)布賬戶的鏈接）（自周日午夜以來(lái)）已上傳到各種云盤(pán)中存儲(chǔ)，以便以后由執(zhí)法機(jī)構(gòu)（清算違法分子）、公眾、開(kāi)放源代碼情報(bào)社區(qū)進(jìn)行檢索。

換而言之，Parler的所有用戶隱私數(shù)據(jù)，包括已經(jīng)被用戶刪除的數(shù)據(jù)，一夜之間變成了一個(gè)人人皆可訪問(wèn)的“開(kāi)源項(xiàng)目”。

安全人員指出，Parler的代碼似乎有嚴(yán)重錯(cuò)誤，在郵件服務(wù)失效的情況下居然會(huì)選擇跳過(guò)密碼重置郵件，這看上去更像是實(shí)驗(yàn)環(huán)境的臨時(shí)代碼。而且這一步是Parler第一次曝出數(shù)據(jù)泄露事件，去年11月420chan的開(kāi)發(fā)者Aubrey Cottle就宣稱(chēng)曾從一臺(tái)亞馬遜服務(wù)器商獲取了6.3GB的Parler用戶數(shù)據(jù)。

截至發(fā)稿，存有Parler用戶數(shù)據(jù)的服務(wù)器已經(jīng)徹底關(guān)閉，但Parler用戶數(shù)據(jù)大規(guī)模泄露事件目前還在持續(xù)發(fā)酵中，以下安全牛拋磚引玉，提出幾個(gè)思考問(wèn)題，歡迎讀者在評(píng)論區(qū)留言點(diǎn)評(píng)：

Parler事件的是否暴露了第三方web安全服務(wù)中一些此前并未被注意到的共性缺陷？

由于Parler在歐洲也有不少用戶，此次泄露事件會(huì)遭受GDPR懲罰嗎？

FBI、DHS和FAA等美國(guó)政府機(jī)構(gòu)能否將泄露數(shù)據(jù)作為清算和起訴暴力抗議活動(dòng)分子的合法依據(jù)。

相當(dāng)一部分Parler“認(rèn)證用戶”上傳了駕駛證照片，如此敏感的個(gè)人信息被大規(guī)模“開(kāi)源”，這種“群體黑客”行為是否受到美國(guó)隱私法律的懲罰？

Parler用戶已經(jīng)“刪除的”數(shù)據(jù)，在數(shù)據(jù)庫(kù)卻“健在”并可在特殊情況下被訪問(wèn)，這是云數(shù)據(jù)安全（服務(wù)水平協(xié)議）中一個(gè)格外值得重視與核實(shí)的問(wèn)題。