63red Safe的后端API泄漏用户数据
似乎我们越是敦促人们对彼此宽容,他们就越拒绝这样做。事实上,听到人们抱怨基于从肤色到政治信仰的任何歧视都是不寻常的。根据美国的一些保守派人士的说法,他们受到不公平对待,他们需要一个应用程序来告诉他们哪些企业对有政治观点的人有宽容。该应用程序被称为63red Safe,顾名思义,它的目的是让穿着MAGA商品的人保持安全。然而,它绝对不会做的是保证用户的数据安全。
Table of Contents
保守派的Yelp
63red Safe的概念与Yelp非常相似。用户创建帐户,访问不同的地方,并告诉其他用户他们的体验。然而,根据业主对特朗普支持者和枪支的态度,63red Safe将其标记为“安全”或“不安全”,而不是根据他们提供的服务质量对业务进行评级。
不安全的API会公开用户的数据
@ fs0c131y是安全研究人员的推特手柄,他似乎对针对保守派的应用程序特别感兴趣。几个月前, 他在Donald Daters中找到了一个漏洞,Donald Daters是分享唐纳德特朗普观点的人的约会平台。他能够下载整个用户数据库,其中包括名称,个人资料图片和私人消息等。
在63red Safe推出后,@ fs0c131y决定下载新的应用程序并查看它是否有类似的漏洞。几乎立即,他找到了63位Safe的开发人员Scott Wallace的登录凭据,硬编码到应用程序中。经过一番挖掘,他能够找到应用程序用来发送和接收数据的API端点。后端API不受任何形式的身份验证保护,这意味着提取信息很容易。
暴露的细节包括用户名,电子邮件,个人资料图片,个人资料创建日期等。@ fs0c131y说他还可以阻止用户并在数据库中插入日志。根据研究人员的说法,63red Safe当时的用户不到4,500,下载所有信息就像向未受保护的API发出36个请求一样简单。
漏洞披露问题再次成为焦点
63red,开发63red Safe的公司已经使应用程序脱机,并承诺将修复所有安全问题,这是个好消息。整个事情展开的方式并不是那么好。
通常,当研究人员发现漏洞或数据泄露时,他们会私下联系受影响的组织,共享信息并提供解决方案帮助。 @ fs0c131y没有联系63red,而是将他的发现发布在Twitter上 。开发人员没有机会修补漏洞,并且每个有互联网连接的人都能立即获得详细信息。
当受影响的组织拒绝合作或忽视研究人员试图联系的企图时,通过社交媒体公开报告漏洞确实会发生. 然而,在这种情况下,63red并没有忽略@ fs0c131y,因为他从未首先联系过供应商。 ZDNet报道了这个故事并问他为什么采取这种特殊方法。他的回答是“让我说我不喜欢特朗普的粉丝”。
仅仅因为他们支持一个特定的政治人物,潜在地暴露成千上万个人的个人数据确实引发了一些围绕@ fs0c131y披露的问题。话虽这么说,63red的回应也不完全堪称典范。
他们没有对出了什么问题做出明确的陈述,而是发表了一篇中文帖子并做了两件事。首先,他们试图淡化漏洞,说只暴露了“少量信息”,没有密码被泄露。然后,他们继续完全不成比例地吹嘘问题,并声称@ fs0c131y的研究是“政治动机的攻击”,他将被“绳之以法”。
可以说,研究人员和在线服务提供商都可以从这一切中吸取宝贵的教训。他们可以了解在处理安全问题时不应该做什么。