首页 > 业界 > 关键词 > CTO最新资讯 > 正文

CTO 写低级 Bug,致公司 70 GB 数据遭泄露!

2021-03-07 14:59 · 稿源:CSDN公众号

声明:本文来自于微信公众号CSDN(ID:CSDNnews),作者:苏宓,授权站长之家转载发布。

前有“程序员删库跑路”,后有 CTO 在网站后台引入 Bug,导致公司1.5万账户信息外泄。

近日,据外媒报道,美国开源社交网络服务平台 Gab 受到黑客攻击,其中,包括一些知名人士在内的1.5万 Gab 账号及个人信息遭到泄露。

据悉,一位未透露姓名的黑客利用 SQL 注入漏洞入侵 Gab 后台,并从数据库中窃取了约70GB 数据提供给了爆料组织 Distributed Denial of Secrets(简称 DDOSecrets)。这些数据包括了7万多条信息、4000多万条帖子,以及哈希密码、明文密码、用户个人资料等。

然而,在 Gab 公司审查并欲修复漏洞之际,竟然发现此 Bug 出自自家公司的 CTO 之手,而这究竟又是怎么一回事?

黑客 泄露

CTO 写的 Bug,后果很严重!

正如上文所述,Gab 公司在遭到黑客攻击后,爆料组织 DDOSecrets 团队公开发文表示,“正在将这些泄露的数据汇编成了一个 GabLeaks 的文件,同时将对外分发共享此数据集,记者、学者以及研究者可以通过公开渠道与其获得联系,对这些信息进行研究学习。”

在知晓这一消息之后,Gab 创始人 Andrew Torba 发表声明强烈谴责了相关的组织以及传播的记者。

图片

不过,就在谴责泄露组织及相关人员之际,Gab 内部也对网站的整体安全进行了审查。然而万万没想到的是,在快速浏览了 Gab 的开放源代码之后,竟然发现关键漏洞(至少有一个非常类似的漏洞)是源自 Gab CTO 提交的代码。

据外媒报道,通过查看 Gab 公司提交的“Git commit”更改记录中发现,今年2月,有一个名为 Fosco Marotto 的软件开发者,提交了一份代码。在这份代码中存在一个很明显的错误类型,而这往往是新手才容易犯的错误,即第23行代码中,拆分了“reject”和“filter”代码,这两个 API 函数实现了防止 SQL 注入攻击的编程习惯。

图片

这种惯用的方法可以帮助程序员能够以安全的方式编写 SQL 查询功能,且可以“清理”网站访问者在搜索框和其他 Web 网站中输入的字段,借此来确保在将文本传递给后端服务器之前,先清除掉所有恶意命令。

不过,开发者也需要向一个包含“find_by_sql” 方法的 Rails 函数添加了一个调用,这一方法直接在查询字符串中接受未经过滤的输入(Rails 是一种广泛使用的网站开发工具包)。

对此,Facebook 的前产品工程师 Dmitry Borodaenko 在一封电子邮件中写道,“ 或许 Rails 的官方文档没有警告过用户存在这个陷阱,但是,如果作为开发者,完全了解在 Web 应用程序中使用 SQL 数据库的任何知识,那么,相信你也听说过 SQL 注入,由此也不难发现“find_by_sql”方法不正确的警告。”

同时, Dmitry Borodaenko 指出,“现在并非能够100% 确认这是在 Gab 数据泄露中使用的漏洞,但是不排除可能性,现在 Gab 团队已经将其在 GitLab 存储库中提交的最新代码恢复到了上一版本 。”

那么,要问 Fosco Marotto 是何许人也?

据悉,Fosco Marotto 此前在 Facebook 作为软件工程师任职7年,2020年11月,正式加入 Gab 平台担任 CTO 一职。针对上面所犯的错误,也颇具有讽刺意义的是,Fosco 曾在2012年提醒过其他程序员,一定要使用参数化查询来防止 SQL 注入漏洞。

如今,Gab 已从其网站删除了 Git commit。

修正主义者的历史

然而又是这一举措,Gab 再次成为众矢之的。

作为一家创业型的开源社交网络服务平台,其支持言论自由,也一直被视为 Twitter 的最佳替代品,不过,Gab 此次在没有任何解释之下,直接删除提交的代码,引发业界不小争议。

对此,有批评人士称,此举违反了 Affero 通用公共许可的条款,该许可将规范 Gab 对 Mastodon(用于托管社交网络平台的开源软件包)的重用。

据公开资料显示,GNU Affero 通用公共许可协议是一个广泛被使用的自由软件许可协议,其改自 GNU 通用公共许可协议,并加入额外条款,其目的是为了 Copyleft 条款应用于在网络上运行的应用程序(如 Web 应用),从而避免有人以应用服务提供商方式逃避 GNU 通用公共许可协议。

批评人士表示,Gab 的删除行为违反了要求从网站直接链接到分叉源代码的条款。这些要求旨在提供公开、透明度,并使其他开放源代码开发者可以从 Gab 的同行中受益。

据报道,Gab 一直都是在 https://code.gab.com/ 上提交代码的。

但是,本星期一,Gab 突然删除了所有提交,包括那些创建并修复了严重 SQL 注入漏洞的提交。取而代之的是,Gab 使用了 Zip 存档文件的形式提供了源代码,该文件受密码“ JesusChristIsKingTrumpWonTheElection”的保护。

截止目前,据 Gab Git commit 显示,该公司的开发者也正在努力修复其易受攻击的代码。正如下图所示,一位用户名为“ developer”的开发者正在尝试完全修复包含 SQL 注入漏洞的代码,但最终并未成功。

图片

网友:不足为奇

针对这样的错误,也引发了不少网友的讨论:

  • 一点都不足为奇。在某一时刻,当他们有一个 API 时,我可以跟踪和看到在网站上看不到的"锁定"帐户中的信息。我对他们网站反馈了这一问题,他们回复说:“哦, 是的, 我们现在正在做很多改变,”然后从来没有修复过这一 Bug。

  • 对于企业而言,CTO 应该专注于战略层面,手里下应该会有1-2位开发者来领导日常的开发工作,并针对此类基本问题(或使用代码分析器)进行代码审查,以检测 sql、xss、xsrf、会话管理、基于密码的用户数据加密、消息加密和其他琐事。这并不是说我喜欢 Gab 这家公司,但我不知道有多少这样的新手错误,然后最终会被归咎于"外包公司"。

  • 这是糟糕的代码, 有点让我吃惊的是, 一个前 Facebook 工程师写了它 (后来成为 CTO),显然,Gab 并没有雇佣到一位最优秀、最聪明的 CTO。 

对此,你怎么看?

参考链接:

  • https://ddosecrets.substack.com/p/release-gableaks-70gb

  • https://arstechnica.com/gadgets/2021/03/rookie-coding-mistake-prior-to-gab-hack-came-from-sites-cto/?comments=1

  • https://www.knowpia.cn/pages/affero%E9%80%9A%E7%94%A8%E5%85%AC%E5%85%B1%E8%AE%B8%E5%8F%AF%E8%AF%81

  • 相关推荐
  • 大家在看
  • 中国程序员开发的抢茅台脚本 频频冲上GitHub热榜第一

    由中国程序员推出的京东抢茅台、天猫抢茅台等开源项目霸榜 Github了,这些项目只有一个功能,那就是抢茅台:自动登录电商平台 -> 定时自动预约茅台 -> 定时开始自动抢购。

  • 程序员因违反《竞业协议》赔偿腾讯97.6万元

    中国裁判文书网通过公告发布了孙某与腾讯科技(上海)有限公司竞业限制纠纷二审案件二审民事判决书,判决书显示,孙某被判返还腾讯公司竞业限制补偿金157,985.52元;支付腾讯公司竞业限制违约金976,441.28元。

  • 喜讯 | 锦行科技CTO吴建亮(Jannock)获评“广州市天河区优秀人才”

    近日,广州天河区政府根据《中共广州市天河区委组织部关于印发广州市天河区产业发展专项资金支持高层次人才创新创业实施办法的通知》(穗天组通字〔2017〕42号)有关规定,评定广州锦行网络科技有限公司CTO吴建亮(Jannock)为“2019年度广州市天河区优秀人才”。2019年度天河区杰出人才人选名单经过逾半年的公告发布、资格审查和组织评审等程序严密选拔拟定,最终仅有13人成功入选。我司首席技术官Jannock通过层层选拔,终获殊荣?

  • 尴尬!因软件 Bug ,美国数百名囚犯释放后无法出狱

    近日,一位来自美国亚利桑那州监狱部门的负责人向新闻网站 KJZZ 举报,其所在监狱的囚犯管理软件存在 Bug ,导致数百名符合释放条件的囚犯被继续关押。实际上,该负责人于一年前就在监狱部门的内部指出该 Bug,但至今没有人采取行动来修复该软件的 Bug。

  • 微比特矿池ViaBTC必备新功能:支持账户币种自动兑换BTC与USDT服务

    “ 2100 万枚的绝对稀缺性”,自比特币被发现至今,历经市场一轮轮洗牌,今年比特币还是进入华尔街投资圈,吸引特斯拉、Square和Microstrategy等投资巨擎的目光,比特币对标至黄金指日可待,比特币价值共识也越发强劲。据报道,上周,比特币总市值突破 1 万亿美元里程碑,市值达到黄金的1/10,在比特币飙升搅动挖矿狂潮中,无数矿工将“挖矿”作为一番事业去深耕。同时, 4 年前由比特币挖矿事业起步并一路高歌前进的微比特矿池(V

  • NASA宣布派往SpaceX Crew4任务的宇航名单

    美国宇航局已经宣布了SpaceXCrew4任务中的两名宇航员会前往国际空间站这将是载人龙飞船的第四次乘员轮换飞行美国宇航局宇航员谢尔林德格伦(KjellLindgren)和鲍勃海因斯(BobHines)已被分配到这次任务中并将分别担任指挥官和飞行员

  • BitWell与币安智能链BSC达成深度合作 WELL将跨链接入BSC

    2月23日,国际化数字资产衍生品服务平台BitWell宣布与币安智能链BSC达成深度合作,BitWell平台通证WELL将作为跨链资产接入BSC,拓展BSC链上应用场景。 为更好接入BSC,BitWell将开通WELL、BTC、ETH、USDT、BNB、BUSD、DOT、LINK等主流资产的BEP20链上转账功能。同时BitWell将上线BSC资产交易专区,此前BitWell已上线BSC明星项目CAKE的现货交易,后期将有更多BSC上的优质项目上线BitWell。此外,BitWell还将上线BSC生态专区,平台创

  • Exynos 版用户得救 三星Galaxy S21已解决耗电激增Bug

    昨日(2月14日)多个媒体报道称许多Exynos版Galaxy S21用户对于包含二月安全补丁在内的系统更新有抱怨mdashmdash系统更新后手机耗电量激增高于往常然而当飞行模式开启之后这个耗电

  • 新系统慎重升级 Exynos 版三星Galaxy S21出现耗电激增Bug

    三星于1月正式发布了年度旗舰Galaxy S21 系列包含 S21 5GS21 5GS21 Ultra 5G 其中国行版本搭载高通骁龙 888 5G SoC在海外部分地区发行的是Exynos 2100版本机型2月14日消息据媒

  • 三星一款Galaxy Tab平板通过FCC认证,处理器为Helio P22T

    在全球平板电脑市场上,苹果的iPad长期以来都取得第一的市场份额,不过三星也在安卓平板市场中占据一席之地,现在又一款三星Galaxy Tab通过了美国联邦通信委员会(FCC)认证,可能很快发布。

  • ​Mintegral携手JoyPac 助推《ABC Runner》登顶美国iOS免费榜

    近日,由游戏发行商JoyPac发行的一款名为《ABC Runner》的超休闲游戏,连续多日登上美国iOS免费榜冠军宝座,并同时霸榜免费游戏类、免费家庭聚会类、免费益智解谜类多个榜单,成为超休闲游戏赛道一颗冉冉升起的新星,为行业的创新及产品的推广提供了全新思路。数据来源:App Annie2021年2月2日美国iOS免费总榜Top10相较于其它游戏品类,超休闲游戏易上手且游戏研发相对简单快速。在经历2020年的快速增长后,2021年的超休闲游戏赛道无疑更加

  • Robinhood和Reddit CEO将在GameStop听证会上作证

    2月18日美国国会众议院金融服务委员会将举行线上听证会调查GameStop的股价是如何在一群Reddit散户联合起来后飙升的委员会主席玛克辛沃特斯MaxineWaters公布了听证会的证人名单

  • 电竞国家职业标准出炉

    近日,人社部颁布了13个国家职业技能标准。包括了行政办事员(政务服务综合窗口办事员)、连锁经营管理师、企业人力资源管理师(劳务派遣管理员)、电子竞技员、老年人能力评估师、城市轨道交通服务员、船闸及升船机运管员7个国家职业技能标准系首次颁布,家用电器产品维修工、家用电子产品维修工、氧化铝制取工、铝电解工、金属挤压工、铸轧工6个国家职业技能标准是对原相应职业技能标准的修订和完善。

  • 罗永浩吐槽Clubhouse

    近日,得益于特斯拉CEO马斯克“带货”,音频社交软件Clubhouse火遍全网,网友们纷纷开始寻求Clubhouse的邀请码。今日,针对Clubhouse火爆的现象,罗永浩也发表了自己的看法。罗永浩称,自己断断续续玩了两天 clubhouse,没有一个房间能待上10分钟,也毫无兴趣自己开一个房间。

  • 女神节礼物推荐,王府中环TORY BURCH带你解锁套装穿搭法

    三月八日翩然将至,王府中环作为王府井时尚高端生活中心,有不少商家和品牌入驻,是绝佳的购物圣地。TORY BURCH2021 春夏系列经典西装携手国际超模刘雯解锁套装穿搭法,焕发现代气息。格纹套装是开启一周工作的标准姿势。复古格纹套装诠释着干练气质,休闲感的宽松剪裁传递着活力,并添加点运动元素,格调从容不迫,迈出自信步伐,轻松获得满分状态。混搭套装即使是在分速运转的状态下也时刻保持精致。双色格纹混搭亮眼元素,从会?

  • 区块律动专访比特小鹿BitDeerCEO孟晓妮:价值增长和多方共赢是关键方向

    2020 年,比特币经历了流动性紧缺的暴跌,也经历了全球财政放水刺激后的暴涨。著名国际性金融媒体《金融时报》对他的 45 万名读者表示「cryptocurrencies are becoming more integrated into the financial system(加密货币正在深入金融体系)」。 伴随着比特币价格的走高,比特币全网难度也不断走高,老矿机又重新启动。与此同时,比特币矿业也正悄然发生着变革。位于北美的多家挖矿企业不断购入矿机,短时内便登上比特币矿池算?

  • 乔山MATRIX家用系列荣获美国“2020 Best Buy”大奖!

    乔山健康科技旗下MATRIX品牌高端家用健身器材产品系列,凭借其出色外观和优良性能,荣获美国「健身器材教授」Fitness Professor颁发的“2020 Best Buy”殊荣!MATRIX品牌是乔山健康科技集团旗下的高端商用健身器械品牌,为了让健身爱好者在舒适的家中就能尊享媲美健身房品质的运动体验,MATRIX品牌于 2016 年推出高端家用系列MATRIX RETAIL,为消费者提供全系列的家用跑步机、健身车和椭圆机。MATRIX RETAIL精致时尚的外观设计符合

  • 苹果开始向开发者发出Bring Your iPad App to Mac活动邀请函

    据外媒报道苹果正在邀请注册开发者参加新的在线会议据悉会议重点是将iPadOS应用移植到Mac上该公司将在2月剩余时间和3月上半月举办BringYouriPadApptoMac活动这些活动将专注于使用MacCatalyst将iPadOS14应用引入macOS操作系统从而使其能在本地运行

  • 安全研究人员称Facebook和Instagram链接预览功能违反欧盟隐私法

    安全研究人员TalalHajBakry和TommyMysk的后续报告称FacebookMessenger和Instagram正在收集和使用链接预览的数据这种方式将违反欧洲隐私法去年10月Bakry和Mysk透露流行的消息应用中的链接预览会导致iOS和Android上的安全和隐私问题

  • 进击的平台币,Coinbase上市促进OKB价值回归

    据Coindesk消息,数字资产交易所Coinbase准备采用直接上市的方式登录美股, Coinbase的估值为1003亿美元,规模已经完全碾压纽交所母公司洲际交易所(ICE)和芝加哥商品交易所(CME)。洲际交易所市值约为636亿美元,芝加哥商品交易所市值约为700亿美元。所谓“直接上市”是指公司无需发行新股,只需简单登记,股票即可在证券市场自由交易,没有承销商,没有投资银行参与,方便快捷, 成本低,大公司如Spotify和Slack就是通过直接上

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签