В общем 2021 год не дает нам расслабиться. Запасаемся попкорном.
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_par...
Если очень кратко - из-за проблем с безопасностью утекли все пользовательские данные (посты, фото, видео) включая удаленные (!). Удаленные посты просто помечались флажком, но оставались в базе данных.
Возможная причина утечки: #comment_189622466
Никто даже не попытался прочитать как это все произошло, но половина обвиняет амазон, а половина демократов.
Парлер использовал api верификации логина-почты через сервис Twilio.
Твиллео отказался работать с Парлером, и с этого момента любой человек мог зарегистрироваться в Парлере с любой почтой-телефоном без проверки. И api каким образом хранятся-доставляются все виды данных.
Из них нашли логины модераторов-админов. Залогинились за админов воспользовавшись кнопкой забыл пароль и отсутствием проверки почты в авторизации. И наклепали скрипт создавший миллион админских акков и раздавших всем желающим присоединится к краудсорс проекту по выкачиванию всей инфы с парлера.
Профит.
Если невалидные ответы от twilio считались успешной авторизацией -- да, парлеры сами виноваты. Но если twilio начал на любой запрос с parler отвечать "всё ок" - это будет больше похоже на запланированную диверсию. Вопрос в том, что ж там было на самом деле.
*Twilio слил сервисы и api которыми пользовался Parler, а Okta был сервисом авторизации. Окта перестал работать с Парлером и api Парлера стал пропускать всех без проверки.
Почитав повнимательнее и побольше должен внести поправку:
Twilio случайно слил названия тех сервисов которыми они пользовались, а непосредственно за авторизацию отвечал Okta и ничего больше, соответственно когда Okta по какой-то причине перестала верифицировать пользователей, тогда взлом и произошел.
https://twitter.com/okta/status/1348191370528256002
Парлер использовал бесплатный trial-аккаунт для авторизации юзеров (контракта с Okta не было). Его Okta грохнула.
Но почему получилось авторизоваться без подтверждения от Okta?
У меня есть только одно разумное объяснение - после "бана" Parler отключил авторизацию через нее.
По ссылке ответ от явно политически ангажированного индивида. И отвечает он хакерам, взломавшим Parler.
Даже если в модуле авторизации Parler был говнокод, это никак не отменяет умышленности взлома именно по политическим мотивам. Все фигуранты со стороны борцов за бобро явно понимали друг друга с полуслова.
Даже если в модуле авторизации Parler был говнокод, это никак не отменяет умышленности взлома именно по политическим мотивам.
Конечно. Не все готовы терпеть партию нациков. Их право.
Ты попутал, дружок-пирожок. Партия нациков - это те, у кого белый гетеросексуальный мужчина наиболее бесправное существо, по-умолчание должное всем и всегда. Становится понятным, почему ты по этим двум темам бегаешь и защищаешь взломщиков.
Крайне-левые в америке напоминают совок в худших из проявлений.
Крайне-правые - германию 30х годов.
Классическая теорема эскобара.
Крайне левые в США - это люмпены, обслуживающие банкстеров. Что вообще-то полностью соответствует определению фашизма от Дмитрова.
Крайне левые в США - это люмпены, обслуживающие банкстеров.
Это неполное утверждение.
Если рассматривать социальные группы в кругах Эйлера, то:
1. В группу крайне левых помимо люмпенов, обслуживающих банкстеров, также входит большая часть университетской профессуры, особенно в разделе гуманитарных дисциплин.
2. В группу люмпенов, обслуживающих банкстеров, помимо крайне левых, входят также многие крайне правые реднеки (недосиние воротнички), которые горбатятся на дядю 24/7 (или просто сидят на welfare, ибо не неграми едиными), не забывая этого дядю крыть матюками за рюмкой виски. Это общее у люмпенов независимо от политической принадлежности.
Высказывание Димитрова относительно фашизма, как и многие другие, это, скорее эмоциональная оценка, а не определение, но это лирическое отступление, т.к. я должен был уточнить, что говоря о германии 30х годов, я имел в виду нацизм.
Фашизм и нацизм частично пересекаются, но не тождественны друг другу. Классическим фашистским государством была, например, Италия.
Опять же, используя определения государственных режимов следует избегать эмоциональной окраски.
В противном случае начинается работа широкими мазками и под фашизм можно запихнуть что угодно, что нам не нравится.
P.S. Еще раз напоминаю - в моем комментарии речь шла о нацизме.
Бредятина. Может быть, нациками являются те, кто машет флагами конфедератов, да и третьего рейха? Не, по-вашему, это их противники....
Конфедераты нацистами не были. Флагов Третьего рейха я у сторонников Трампа не видел, если они были - стоит их носителей рассматривать отдельно. Классическое нацистское деление на "наших" и всех остальных, на более людей и менее людей сейчас повсеместно наблюдается как раз у либеральной тусовки, а не у их противников. При этом такое деление широко пропагандируется в подконтрольных СМИ и в целом т.н. инфлюэнсерами (что за богомерзкое слово) по всему миру, чего уж точно нет у наиболее маргинальных представителей противоположного лагеря. Ответ на вопрос, кого именно считать нацистами/фашистами/другим подходящим термином лично для меня совершенно очевиден.
Вот и ответ:
A Reddit post explained this in more detail — essentially, the Forgot password link would normally require verification. But because Parler's communications tools were not working, researchers were able to override this and log into accounts.
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_par...
From the Twitter user in the image & a ycombinator post below, it seems mostly:
* dumb Parler endpoints that let you put in an integer and it will turn it into a post/image/video (rather than making you know the random ID)
* this Twitter user listing all content out using these, & creating scripts to get it all archived before it went down
The stuff around 2FA going down seems mostly:
* another Twitter account pointing out that since 2FA and email verification are down, anyone can create an account and spam Parler
* original Twitter user creating a script to automate creating accounts
* No suggestion that these services being down has allowed accounts to be compromised
Stuff around admin accounts seems mostly:
* this Twitter user decompiling the app to see what the admin UI looks like and how it tells if the user is an admin or not
* dumb Parler user endpoint gives you that information for any user, not just yourself* this Twitter user listed the first few hundred admin accounts (possibly similar enumeration issue as the first bit) on Github but no suggestion they've been compromised
Как я и говорил, полный набор говногода со стороны Parler.
Пост на Reddit:
По сути, ссылка «ЗабылЪ паролЪ» должна требовать проверки почты и телефона (2FA). Но поскольку у Parler кривой код и нет обработки нарушения связи со сторонними сервисами, исследователи смогли обойти проверку почты-телефона и войти в учетные записи.
Баг с последовательными ID ресурсов:
* говнокод Parler с последовательными номерами в URL сообщений / изображений / видео (вместо того, чтобы сообщить вам случайный идентификатор)
* это дает возможность скачать весь контент скриптом
Основные моменты, связанные с падением 2FA, выглядят так:
* поскольку 2FA и проверка электронной почты отключены, любой может создать учетную запись и спамить Parler
* оригинальный "хакер" создал скрипт для автоматизации создания учетных записей
* Нет данных, указывающих на то, что отключение этих служб привело к взлому учетных записей
Про администраторов
* пользователи декомпилировали приложение и посмотрели, как работает админка (она в этом же приложении)
* кривой API Parler предоставляет информацию обо всех пользователях всем
* собственно, нашли несколько учетных записей администраторов и дальше воспользовались 2FA-багом.
P.S. Перевод кривой, а мне пора спать.
По сути, ссылка «ЗабылЪ паролЪ» должна требовать проверки почты и телефона (2FA). Но поскольку у Parler кривой код и нет обработки нарушения связи со сторонними сервисами, исследователи смогли обойти проверку почты-телефона и войти в учетные записи.
А не работает именно из-за Амазона.
Ну, у него есть идеологическое направление, а именно, Трамп и парлор = гуд, поэтому он и пытается любыми способами скинуть вину на амазон, а не дубоголовых разрабов Парлера.
Это другое. Они говорили что на зависят от непортируемых сервисов амазона. У амазона помимо виртуальных машин (ec2) есть множество других сервисов, разные хранилища для файлов, базы данных, etc.
Можно написать свой код для использования амазоновского SQS или опенсурсного RabbitMQ. DynamoDB или MongoDB, итд.
Приемущество Амазона в том что можно использовать эти сервисы не заморачиваясь их администрированием и ростом. Недостаток же - если придётся уйти с Амазона - нужно будет переписать свой код.
Парлер видимо использовали только EC2 и Route53 для ДНС-а, и то что можно легко мигрировать.
По поводу нерабочих сервисов - если речь о емэйле - то скорее всего использовали SES. Сам мэйл сервис портируемый, в коде нужно прописать лишь smtp server, логин и пароль. Амазон с трудом разрешает отправку почты прямо с виртуальных машин, и есть проблемы с доставкой, потому что многие ип адреса амазона находятся в чёрных списках, поэтому многие предпочитают использовать SES напрямую. И видимо SES и не работал.
https://translate.google.com/
Переводит уже вполне осмысленно. По крайней мере, мысль становится понятна (если она есть в оригинальном английском тексте)
Не думаю что проблема в говнокоде. Даже если были эти уязвимосни - для полномаштабной атаки понадобилось бы больше времени. Я думаю что пока админы Парлер делали бэкапы и скачивали, те же бэкапы скачали себе адмиины Амазона, и опубликовали в том или ином виде. Им дали день или два дня, трудно за это время хакнуть все аккаунты и скачать все файлы, систематизировать и аплодить, даже написав нужные скрипты.
Даже если были эти уязвимосни - для полномаштабной атаки понадобилось бы больше времени.
Зачем? Сидеть и ждать, как по 10-гбитному каналу выливаются 80 тб данных? Это примерно 2.5 часа.
Но можно собрать и толпу помощников и выкачать все без того, чтобы платить за 10-гбит и за 80 тб места.
Или взять 2-3-5 серверов для выкачки.
Я думаю что пока админы Парлер делали бэкапы и скачивали, те же бэкапы скачали себе адмиины Амазона, и опубликовали в том или ином виде.
Креститесь.
Бэкап в амазоне делается быстрее тех же 2 с половиной часов. Тем более, что большая часть данных - это файлики (видео, фото). И "бэкап" у них делается ровно тем же способом, что делали "хакеры".
Им дали день или два дня, трудно за это время хакнуть все аккаунты и скачать все файлы, систематизировать и аплодить, даже написав нужные скрипты.
Спросите местных ребят, что в CTF участвовали, сколько им понадобится времени на слив 80тб инфы с CDN амазона, если у них есть 1-2-3 сервера с 10 Гбит сетью? :)
Да и зачем писать что-то, когда все эти приблуды уже давно есть и автоматизированы (libcurl и петон в 100500 потоков).
Не держите людей за криворуких идиотов.
То что вы описываете - это сайтрип, если я правильно понимаю. Для этого не надо хакнуть сайт. А вот для того чтобы делать то что написано в статье нужно:
- Обнаружить уязвимость, и тут говорится сразу о нескольких уязвимостей.
- Написать эксплойт.
- Найти список всех пользователей. Для этого тоже надо писать скрипт скорее всего.
- Пройтись по всем пользователям скриптом, собрать список файлов, исходников итд.
- Скачать файлы - это лёгкая задача.
- Скачать все сообщения - это немного труднее если не иметь доступ к api или базе - и опять нужно писать скрипты.
Нет, это не невозможно, но я видел как в Румынии передали Rise Project чемодан с компроматом на политического лидера и сказали что пастух нашёл этот чемодан на поле и отнёс этому НКО.
Так же я видел как в США украли компьютер Хантера Байдена и сказали что якобы тот отнёс компьютер в мастерскую, и не захотел забрать. Я в такие счастливые случаи не верю. Захотели слить инфу, сами этого не могут - а вот придумать историю про хакершу - да запросто.
Такого маштаба - нет.
И вообще, я ещё даже не знаю что они сделали на самом деле, ещё сами не определились:
https://twitter.com/RayRedacted/status/1348583635855810561/p...
Зачем им понадобились миллионы администраторских учётных записей - я не пойму.
"Горшочек, не вари" типичный :)
Такие записи нужны, чтобы гарантированно хватило для распределенной выкачки (если это требуется). Они же использовали "ботнет" из докер-контейнеров. Вероятно, там где-то было использование "следуйщей записи".
Но, опять же, это мое предположение, мне лень смотреть внутрь.
Ну и сколько времени на всё про всё на это уходит?
Кстати, вот данные указывающие на то что это именно подгон под фактами:
Update: Two updates and corrections to this developing story of which I was made aware after publication. First, Twillo has advised me that it has not issued any press releases pertaining to or referencing Parler. Furthermore, they tell me, Parler was using Twilio to send out identity verification codes for new downloads or password resets. Once a user was verified, security protocols were independently handled by Parler and did not involve Twilio or its products. Second, an individual who was involved in the collection of Parler data reached out via Twitter to advise that no meta-data was in the data collected.
То есть, то что они говорили - фуфло. Придумали себе хорошую историю. Так же как и беллинг кэт получает сливы от спецслужб, и подгоняют их под расследования.
Они говорят что парлер не удалял сообщения когда пользователь удалял, а лишь помечал их как удалённые, и таким образом они раздобыли все сообщения пользователей.
Я предлагаю, когда массив будет доступным - проверять на наличие удалённых записей за 2 недели до взлома. Если они будут - я соглашусь с тем что это была хакерская атака. Если же удалённые сообщения будут доступны лишь за последние 2 недели - то это Амазон вынул их из логов транзакций базы данных.
т.е. вариант со "слить всю БД подчистую" вы не рассматриваете?
Это проще, чем лог транзакций вести.
Они говорили что разработчики Парлер были настолько тупыми что при удалении записи они не удаляли из базы а лишь помечали как удалённое, и что эти сообщения выводились в запросы api, хоть и не афишировались на странице. Я в это не верю.
Им нужны записи 6-го числа, но многие пользователи удалили эти записи. Я верю в то что они были удалены и из базы тоже. Но у Амазона есть возможность достать эти записи из логов транзакций, там они хранятся до 2-х недель если я не ошибаюсь. И придумать историю про тупых программистов не умеющих удалять запись из базы данных. Поэтому я говорю, что если там будут удалённые сообщения не старше двух недель - значит слив от Амазона.
Они говорили что разработчики Парлер были настолько тупыми что при удалении записи они не удаляли из базы а лишь помечали как удалённое, и что эти сообщения выводились в запросы api, хоть и не афишировались на странице. Я в это не верю.Что не удалили? Это распространенная практика.
Что выводили удаленные сообщения? Так на пекабу, похоже, что-то подобное есть.
Я верю в то что они были удалены и из базы тоже.
Удаление честное - это дорого. И не вполне логично с точки зрения оператора (можно объебаться и удалить не то и не туда, случайно ткнуть или быть злонамеренным оператором и т.п.). Поэтому часто оставляют контент, только скрывают его от пользователя.
Бывает, что эти данные потому раз в сколько-то "вычищает" специальный скрипт, который еще и БД сжимает.
Бывает, что удаление "лочит" идентификатор удаляемого ресурса. Это используется для борьбы с нехорошими практиками "подмены" контента (удалил пост, а потом создал на его месте картинку с хуем). А раз нужно лочить идентификатор, то и запись в БД остается.
Да и модифицировать старые данные в time series БД - так себе затея.
Но у Амазона есть возможность достать эти записи из логов транзакций, там они хранятся до 2-х недель если я не ошибаюсь.
Если они использовали redshift, а не образ с постгрей на ec2.
И придумать историю про тупых программистов не умеющих удалять запись из базы данных
Таки нет вопросов про флаг удаленного сообщения. Это распространенная практика.
Поэтому я говорю, что если там будут удалённые сообщения не старше двух недель - значит слив от Амазона.
Это будет странно, но не будет являться 100% доказательством.
Выше я описал практики, как это может быть при вполне валидной реализации системы хранения.
6,4e+14 / 1e+10 = 6,4e+4 секунд или около 18 часов, если я правильно посчитал. Никак не 2,5.
Непонятно как админы не уследили, что у них кто-то сливает 80 Тб данных, в амазоне на все можно поставить оповещения.
1. Стартап-с и ограниченность всего
2. Долбоебы
3. Аутсорс и "похуй"
80 Тб траффика для таких проектов - это ни о чем (если качали не пиком, а за день). Большая же же траффика ушла на CDN (сами файлы), а там просто наплевать и редко кто мониторит.
Нихуя ни о чём, это аналогично тому, что зайдут все юзеры и будут листать все посты и всё чё там есть
Вы представляете инфраструктуру Twitter? Как устроена "лента сообщений"?
Запрос ленты - дешевый процесс. А вот запрос каждого сообщения из ленты - уже дороже по траффику, но идет с CDN (не с серверов API, а как статика).
Вероятнее всего, в Parler использовалась аналогичная инфраструктура.
Более того, проскакивала информация, что ID сообщений и контента были инкрементальные. Что ... палево и сильно сокращает количество запросов к API.
Так что, вангую, нужно было сделать по 1 запросу на пользователя (а пользователей там всего 4 млн). Если сервер отвечал за 1мс на запрос, то можно было делать 100 запросов в секунду и слить все ленты в 1 поток за 3 часа.
Опять же, это мое предположение.
Но я не вижу ничего невозможного.
Если бы Амазон грохнул все, то ... ничего бы не утекло.
А так, Амазон поспособствовал утечке не отрубив Parler раньше времени.
привет всем долбоебам топящим за облака и повсеместное использование сторонних сервисов вместо разработки своих кишок или готовых опенсорс решений
Мы вскоре увидим вокруг себя орды голодранцев, которые про "сервисное рабство" ничего не знают, зато дрочат на своего идола, илонамаска, который уже призывает продать все нафиг, чтобы обрести свободу и улететь на марс. Очень бы хотелось его попросить забрать с собой всю эту орду.
забирайте меня, заебала вся эта поебота.
только дайте конституцию марса почитать, на всякий =)
Дада, илонмаск везет с собой не вагон рабов, а свободных граждан и конституцию ))) семь футов под килем вам!
Ты ведь понимаешь, что жизнь на марсе в её зачатке в любом случае не курортом будет? Будут строить коммунизм
Я не против, чтобы стадо дебилов строило коммунизм на марсе. Мне важно только то, чтобы их отсюда увезли )
Это ты сейчас так говоришь, а потом будешь на пикабу пост-негатив пилить о том, как у тебя место на марс отжали обманом, и я минусов отхвачу. На марсе, правда, уже не до этого будет- маск обещал отсутствие законов земли -, но всё равно грустная история получится
Уууу... обещал.... как же я забыл про эту сторону инфантилизма субъективного идеализма ))) раз обещал, то всенепременно даст.
Ты ведь понимаешь, что даже не смотря на использованные тобой слова и сам факт их использования, у колонии на марсе действительно будет свой закон, не связанный с землёй? Другое дело, что там могут быть похожие статьи об убийствах и прочем, но это не отменяет того факта, что от земли они будут отвязаны до тех пор, пока земля не прилетит на 666ых айфонах завоёвывать колонию, устанавливая на ней свой режим. И я даже знаю кого поставят во главе флотилии, как самого яростного доказывальщика
Я понимаю, что зашел не в тот тред ))) мне, правда, и смешно и немножко грустно читать "ты ведь понимаешь", за которым следуют утверждения на серьезных щах про "завоевание марса". Это даже не инфантилизм, это диагноз.
Ты ведь не понимаешь, что после слов "ты ведь понимаешь" идёт гипотетическое предположение, которое скорее всего и исполнится в гипотетическом освоении марса, а не задокументированная правда жизни? Дело в том, что на серьёзных щах всё это время был ты, не понимая сути происходящего
Только сейчас, на хорошем качестве, увидел насколько крипово сделана анимация лиц в мультике
Ну и виноваты, конечно, не криворукие программисты парлера у которых не была прописана аварийная остановка авторизаций при падении сервера авторизации, а госдеп или хз кто.
Ну конечно, ведь все остальные соцсети готовы к тому что с ними все вдруг откажутся работать.
Ау, сервер АВТОРИЗАЦИИ упал, а на сайт продолжило пускать кого попало. Это как если бы таможенникам все глаза повыкалывало и они не глядя на документы и груз продолжили как обычно всех пропускать, а государство ни перекрыло границу ни выслала новых, здоровых пограничников. Сервер авторизации мог бы упасть по любой причине и эта проблема бы осталась. А то что на Парлер внезапно появилась куча внимания это ускорило проблему, а не создало.
А еще что бы зайти за админа и получить доступ ко всем данным достаточно восстановить пароль на почту. А если бы почту админа взломали? Это не нормальная система распределения полномочий и политика восстановления доступа к аккаунтам.
Система не должна пускать юзера, если его нельзя верифицировать, про ваш пример с таможенниками получается, что если у таможенника упала база паспортов, то он должен пускать всех без разбора по любым паспортам. А на счёт админов: у юзеров с правами выше обычных должна быть хотя бы двухфакторная аутентификация.
Так в этом то и весь прикол, что когда у таможенников упала база паспортов они стали пускать всех подряд. И еще поприходили чуваки которые сказали что они тоже таможенники и стали других пропускать.
Знаете, когда стоит выбор - или вообще прекратить работать, или работать в нештатном режиме, причем вообще прекратить работать - значит отдаться на волю незаконной цензуры, решение работать в нештатном режиме - вполне понятно.
Беря вашу аналогию - всем пограничникам повыкалывали глаза, а границу перекрывать нельзя, и других пограничников тоже нет. Кто виноват - пограничники, которые пытались хоть как-то работать, или выколовшие пограничникам глаза?
Как минимум, они должны быть готовы к тому, что на стороннем сервисе будет сбой. Но тут походу забили.
Крупные соцсети наверняка готовы. Опять же они заботятся о том, чтобы с ними не перестали работать, в том числе поэтому банят слишком проблемные аккаунты :)
Сорян, я как то предполагал что те, кому интересно перейдут по ссылке и прочитают что там.
Да потому, что мало кому интересна правда :) Большинству людей интересны лишь подтверждение их идей/представлений о прекрасном.
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.