最近在一个支持创作者的流行平台上修复了一个安全漏洞,表明即使是注重隐私的平台也会让创作者的私人信息面临风险。
Throne 成立于 2021 年,自称是“一种完全安全的礼宾心愿单服务,充当您和粉丝之间的中介。” Throne 声称通过每天运送数千件他们的愿望清单项目来支持超过 200,000 名创作者,同时保护创作者家庭住址的隐私。
这个想法是,在线创作者,如流媒体和游戏玩家,可以发布支持者可以购买的礼物的愿望清单,而 Throne 则充当中间人。 “你的粉丝为礼物买单,剩下的交给我们,”其网站上写道。 “我们确保付款得到处理,物品被发送,最重要的是,您的私人信息保持私密。”
但是一群善意的黑客发现了一个漏洞,该漏洞破坏了该声明并暴露了其创建者用户的私人家庭地址。
进入Zerforschung ,这是其最新发现背后的德国安全研究人员集体。你可能还记得 12 月的集体,当时他们发现并披露了社交媒体替代品 Hive 中的主要安全漏洞,在 Elon Musk 的新所有权下,Hive 在 Twitter 的流失中迅速流行起来。 Hive 短暂关闭自身以修复Zerforschung 发现的漏洞,该漏洞允许任何人修改其他人的帖子并访问其他人的私人消息。
Zerforschung 告诉 TechCrunch,他们发现了该公司如何设置其数据库(托管在 Google 的 Firebase 上)以存储数据的漏洞。研究人员表示,该数据库被无意中配置为允许互联网上的任何人访问其中的数据,包括来自数据库的亚马逊账户的会话 cookie,可用于在不需要密码的情况下闯入账户。
会话 cookie 是位于您的计算机或设备上的一小段代码,可让用户登录应用程序和网站,而无需反复重新输入密码或使用双因素身份验证登录。由于会话 cookie 使用户保持登录状态,因此它们可能成为黑客的一个有吸引力的目标,因为它们可以用来登录,就好像他们是该用户一样。这也使得检测用户以外的其他人何时滥用会话 cookie 变得更加困难。
通过这些亚马逊会话 cookie,安全研究人员发现他们可以访问 Throne 的亚马逊账户,该账户用于从创作者的愿望清单中订购和发送礼物,而无需密码。研究人员表示,任何拥有相同会话 cookie 的人(实际上是 Throne 亚马逊账户的密钥)都可以登录并回顾数以千计的订单及其创建者的姓名和地址。
Zerforschung 上周在与 TechCrunch 的视频通话中展示了该错误,使我们能够验证他们的发现。研究人员向我们展示了过去几个月通过 Throne 的亚马逊账户下达的数千份订单,表明 Throne 声称保护的创作者的姓名和地址已经暴露。
当天晚些时候,一组研究人员向 Throne 报告了这个漏洞。 Throne 很快就修复了这个漏洞,并在本周发布的博客文章中确认了安全漏洞,感谢 Zerforschung 的发现。
“3 月下旬,一个版本的 Throne 被交付,其中配置了错误的 Firestore 规则。这使得安全研究人员能够读取一些本不应该公开的数据,例如我们为防止欺诈目的而维护的被阻止的 IP 地址以及我们一小部分商家帐户的会话 cookie,”Throne 说。
但问题仍然存在于公司。 Throne 表示,它使用网络日志来确定“没有风险,也没有未知方查看过任何数据。” Zerforschung 对这一说法提出异议,因为 Throne 没有要求集体提供公司可以用来调查事件的 IP 地址,同时排除了研究人员的活动。
日志很重要,因为它们跟踪内部事件,例如谁在何时何地登录。逻辑是,如果像 Zerforschung 这样的安全研究人员发现了这个漏洞,那么恶意行为者也可能发现了它。目前尚不清楚是否有其他人访问或窃取了 Throne 的数据,也不清楚 Throne 是否有技术能力来确定哪些数据被查看过(如果有的话)。
Throne 在其博客文章中还声称,一位不愿透露姓名的德国数据隐私专家“确认不存在数据风险”,这没有意义,因为 Zerforschung 证明了相反的情况。
当联系到 Throne 的联合创始人 Patrice Becker 发表评论时,他在样板评论中重申了 Throne 的大部分博客文章,但拒绝回答我们的具体问题或提供其博客文章中所谓的数据隐私专家的姓名。
当被问及此事时,贝克尔没有对 Zerforschung 的调查结果或创作者家庭住址的曝光提出异议。
Throne 修复了Zack Whittaker最初发布在TechCrunch上的暴露创作者私人家庭地址的安全漏洞
原文: https://techcrunch.com/2023/04/06/throne-security-bug-creators-address/