63red Safe的後端API洩漏用戶數據

63red Backend API Leaks Users' Data

似乎我們越是敦促人們對彼此寬容,他們就越拒絕這樣做。事實上,聽到人們抱怨基於從膚色到政治信仰的任何歧視都是不尋常的。根據美國的一些保守派人士的說法,他們受到不公平對待,他們需要一個應用程序來告訴他們哪些企業對有政治觀點的人有寬容。該應用程序被稱為63red Safe,顧名思義,它的目的是讓穿著MAGA商品的人保持安全。然而,它絕對不會做的是保證用戶的數據安全。

保守派的Yelp

63red Safe的概念與Yelp非常相似。用戶創建帳戶,訪問不同的地方,並告訴其他用戶他們的體驗。然而,根據業主對特朗普支持者和槍支的態度,63red Safe將其標記為“安全”或“不安全”,而不是根據他們提供的服務質量對業務進行評級。

不安全的API會公開用戶的數據

@ fs0c131y是安全研究人員的推特手柄,他似乎對針對保守派的應用程序特別感興趣。幾個月前, 在Donald Daters中找到了一個漏洞,Donald Daters是分享唐納德特朗普觀點的人的約會平台。他能夠下載整個用戶數據庫,其中包括名稱,個人資料圖片和私人消息等。

在63red Safe推出後,@ fs0c131y決定下載新的應用程序並查看它是否有類似的漏洞。幾乎立即,他找到了63位Safe的開發人員Scott Wallace的登錄憑據,硬編碼到應用程序中。經過一番挖掘,他能夠找到應用程序用來發送和接收數據的API端點。後端API不受任何形式的身份驗證保護,這意味著提取信息很容易。

暴露的細節包括用戶名,電子郵件,個人資料圖片,個人資料創建日期等。@ fs0c131y說他還可以阻止用戶並在數據庫中插入日誌。根據研究人員的說法,63red Safe當時的用戶不到4,500,下載所有信息就像向未受保護的API發出36個請求一樣簡單。

漏洞披露問題再次成為焦點

63red,開發63red Safe的公司已經使應用程序脫機,並承諾將修復所有安全問題,這是個好消息。整個事情展開的方式並不是那麼好。

通常,當研究人員發現漏洞或數據洩露時,他們會私下聯繫受影響的組織,共享信息並提供解決方案幫助。 @ fs0c131y沒有聯繫63red,而是將他的發現發佈在Twitter上 。開發人員沒有機會修補漏洞,並且每個有互聯網連接的人都能立即獲得詳細信息。

當受影響的組織拒絕合作或忽視研究人員試圖聯繫的企圖時,通過社交媒體公開報告漏洞確實會發生. 然而,在這種情況下,63red並沒有忽略@ fs0c131y,因為他從未首先聯繫過供應商。 ZDNet報導了這個故事並問他為什麼採取這種特殊方法。他的回答是“讓我說我不喜歡特朗普的粉絲”。

僅僅因為他們支持一個特定的政治人物,潛在地暴露成千上萬個人的個人數據確實引發了一些圍繞@ fs0c131y披露的問題。話雖這麼說,63red的回應也不完全堪稱典範。

他們沒有對出了什麼問題做出明確的陳述,而是發表了一篇中文帖子並做了兩件事。首先,他們試圖淡化漏洞,說只暴露了“少量信息”,沒有密碼被洩露。然後,他們繼續完全不成比例地吹噓問題,並聲稱@ fs0c131y的研究是“政治動機的攻擊”,他將被“繩之以法”。

可以說,研究人員和在線服務提供商都可以從這一切中吸取寶貴的教訓。他們可以了解在處理安全問題時不應該做什麼。

April 2, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
6 + 7是什麼?