虽然周一,但是,周一突破了社交网络网站GAB,这是第二次,在多个星期内,黑客已经获得了对推动仇恨言论和专业人士的平台的平台进行了未经授权的进入平台。
妥协后,有人劫持了GAB创始人和首席执行官Andrew Torba的帐户,并留下了批评他的帖子,以便不支付8比特币赎金,以便验证某些用户身份的身份。未知的黑客也指责托布未能披露早期违约的全部范围。
GAB迅速将网站脱落并删除了帖子,但在此之前没有存档。当服务在几个小时后恢复时,Torba发布了一份声明,称星期一的违规是网站管理员未能撤消OAuth2持票人令牌的结果,该授权用户已成功登录站点后的浏览器和移动应用程序存储。
“攻击者在初始攻击期间窃取来自GAB的数据收获的oauth2持有令牌,”Torba写道。 “虽然他们收获新令牌的能力被修补,但我们并没有清除与原始攻击有关的所有令牌。通过重新使用这些旧令牌,攻击者能够在今天的8分钟内发布177个状态。“
GAB'未遵守持票人令牌的失败可能已经源于与开源Mastodon代码的不熟悉,该网站运行或不愿意要求用户通过重置OAuth2持卡令牌的麻烦。令牌的盗窃是许多人的惊喜,因为他们没有包括在违约之后的维基解密型站点的拒绝拒绝秘密的秘密的特写中。
“我认为这里的值得注意的是,他们从未知道此数据,至少不是根据他们的报告,”特洛伊狩猎,违反通知服务的所有者我被Pwned?,提到了这一通知那个GAB在星期六发布。亨特说,他也很惊讶,GAB尚未为所有用户执行强制性的密码重置。在泄露用户数据的泄露泄露后,这种重置是标准练习。
当DDOSECRES表示,当DDOSECRES表示,它获得了70GB的密码,私人帖子,更多来自GAB,并使它们能够选择研究人员和记者。 DDOSECRES联合创始人Emma Best表示,由一个未认出的黑客提供的,通过在GAB的网站代码中利用SQL-REMIVION漏洞来突破GAB提供。
在第一次违约后不久,GAB的某人补充了一个关键的SQL-Internment漏洞,该漏洞被网站CTO Fosco Maroto引入了网站代码。 Maroto拒绝说,如果这个漏洞是一个被剥削的黑客剥夺了该网站,但是这个Bug的介绍了今年早些时候,它在网站妥协的猜测后,它确实是在黑客中使用的。 GAB一直在努力留下两年多的时间,因为它继续为仇恨言论和阴谋理论提供避风港。 2017年,谷歌从播放商店删除了GAB应用程序的服务违规条款。一年后,网络主持人Godaddy终止服务在其中一位用户在网站上批评了希伯来人的移民援助社会,然后在匹兹堡犹太教堂杀死11人之前。
早期黑客暴露的揭露OAuth 2持票令牌的启示落开了那些负责人获得的其他类型的敏感用户数据的可能性。如果那个'案件,GAB'安全性困境可能尚未结束。
发布更新以删除第二段,其中包含有关GAB'与亚马逊的关系的不正确信息。