查看原文
其他

爬乐用户数据大规模被窃后的思考

小机灵 陌上美国 2021-03-17
陌上美国Telegram channel,欢迎订阅(下载app修改privacy设置;拷贝地址用浏览器打开(微信打开无效);点击“join/进入”):

https://t.me/MoshangUS

陌上美国YouTube频道(email登录YouTube,订阅):

https://bit.ly/3nDp9Q4





就在Parler(爬乐)被苹果和谷歌的应用程序店(app store)双双下架的同时,一群年轻的黑客以留下1月6号冲击国会(Capitol storming)证据为由,发起了一场对Parler用户数据的窃取。
 
https://bit.ly/2KfsBTh
 
详细的报道可以在这里看到(https://cnet.co/3nDL6OM)根据其中一位主要黑客donk_enby的推特,他们最终窃取共计近80TB。


https://bit.ly/2MU2KB5
 
而这些数据中包含了parler上近99.9%的数据,包括各种用户的帖子,图片,录像,甚至GPS的数据。拥有这些数据的人是可能复原出很多Parler用户的个人信息和家庭住址的。


https://cnet.co/3nK03iv
 
获取了如此大量的隐私信息,黑客们并没有选择交给有关部门,而是选择完全公开了它们。


https://bit.ly/39BbVy0
 
就在数据公开之后,各种各样,抱着不同目的的人已经开始把玩数据(比如有人利用gps的数据绘制了部分美国parler用户的地理分布)。而在这些人中,我们无法知道会否有一些别有用心之人滥用数据。


https://bit.ly/3iebbTw
 
对于这件事情,有的人认为这些年轻的黑客们干的漂亮,因为他们用高科技的手段帮助筛出“暴徒”,他们是数字英雄。

而有的人则认为他们的做法过于鲁莽和疯狂,完全忽视法律,法规和个人隐私,最后将伤及很多无辜。

在大量阅读这些黑客的推特,个人资料以及他们盗窃数据方法之后,我觉得这次事件绝不是一个值得称赞的英雄主义故事它更像是一群未成年孩子突然获得重机枪,并毫不犹豫的把子弹射向他们认为的坏人。
 
让我们聚焦在这次数据窃取的主要黑客donk_enby身上,来看看整件事情的几个重大节点。(https://bit.ly/35JiFce) 

首先从donk_enby的个人介绍上我们知道她是一个反编译(mobile reverse engineer)和数据收集(Data Spelunking)爱好者。这其实反映了donk_enby是有经验通过一些计算机手段,从手机app中提取非公开的api,并且挖取数据的背景。

 
在1月6号之前,她其实已经通过反编译对Parler手机应用(mobiler app)的后台进行了各种分析,并获取了相应的非公开api。通过这些api,她可以获得很多Parler不想公开的数据。



截至我写这篇文章的时候,donk_enby已经将个人网页(https://donk.sh/)下架,但从我之前在她个人网页上顺藤摸瓜,找到了github上她反编译后获得的Parler非官方api的python脚本。从最后一次修改时间来看是12/09/2020。 
 
https://github.com/d0nk/parler-tricks
 
而从donk_enby后来的推文中还可以看到,她似乎和Parler的创始和首席工程师(Founder and Lead Engineer)有些关系。对于他们之间究竟是什么关系,我作为一个局外人,无从知晓。

但我觉得就这样公开这些信息,她是否考虑过,对这位首席工程师意味着什么,会不会给他带来麻烦。

结合这些信息看,donk_enby并不是因为1月6号的事情,义愤填膺,一举攻下Parler,她一直都在从事针对的Parler api的攻击,只是恰巧碰上了1月6号的事情。
 

https://bit.ly/3spg3K1


然后时间点来到6号以后的10号,Parler的用户验证提供商Twilio宣布,他们将关闭Parler的service,从而使用户无需验证也可以访问Parler的数据。这彻底打开了Parler的数据访问权限。
 
https://bit.ly/2XGMBkE

随后donk_enby快速了号召大家使用基于docker的下载Parler数据的工具(https://bit.ly/38I7p1o),让更多人帮助她下载和汇总所有Parler的数据。

由于使用docker,很多完全不需要懂黑客知识的人,只要在自己电脑的命令行里,输入一段简单的指令,就可以帮助下载Parler数据。由于很多人的响应,大量的Parler数据被最终下载下来。

https://bit.ly/2XEPaDT
 
最后,经过一天的下载和整理,donk_enby并没有将数据交给有关部门,而是彻底公布了这些数据,至于谁有权限访问这些数据,完全没有做任何限制。


https://bit.ly/3bz9AGC

 
回顾整个数据盗窃事件,说实话,donk_enby并没有用到太过高明的技术。不论是反编译技术和Parler的数据下载,她都依赖于了一些别人写好的工具。她自己只是用了一些经验把这些工具组合起来。

这样的现实无疑是可怕的,因为低的技术门槛将造成了更多的人得以学习这样的工具,并效仿donk_enby的行为,而你无法保证每个使用它的人都是一个好人。这也是为什么我说的,这次信息窃取更像是一群未成年孩子突然获得重机枪,并毫不犹豫的把子弹射向他们认为的坏人。

而且donk_enby将Parler和反编译api和甚至获得数据公开了,这意味着别人可以在将来用更低的成本模仿她已经做的事情。
 
看到这里许多人会思考,donk_enby行为是否应该被谴责,毕竟她已不是一个小孩子了,而她的行为正在波及非常多的人。这里,我的看法是这样的:首先我认为单纯谴责donk_enby并不能解决问题。

Donk_enky行为其实反应的是当下的年轻人能够轻易掌握诸如黑客技术这样杀伤力极大的技术,但同时缺乏足够与之匹配的道德和自我约束。

很多这个年龄段的年轻人更多秉持的,是简单的,非黑即白的,政治正确的价值观,同时缺乏对自己行为会产生哪些深远后果的预见。

他们很多时候就像一个鲁莽的孩子打开了潘多拉的盒子又不知道如何关上。

很多年轻的黑客在成长的过程中,其实是摔过了大跟头,看到自己曾经造成的巨大破坏,心底的善良引起反思,最终浪子回头,成为优秀的网络安全专家。

所以作为有过类似经历的人,我觉得应该善意地和像donk_enby的年轻人去沟通。这里举个我自己的类似的例子。
 
这次新冠疫情刚开始的时候,我曾经很早就开发过Wholefood和Costco的自动刷单软件,来方便抢到外送的排位(time slots)。

开发的初衷是想以此帮助更多的人。整个软件是基于chrome的插件系统,可以轻松安装而并且操作简单,每个人都能用起来。

当花了一晚上开发完毕后,我把这个软件分享给了一些身边的朋友,甚至想把它开源放在github上,因为不同地区依赖的外送平台可能不同,开源之后,有技术背景的人可以根据自己的需要调整想刷单的外送平台。

然而最终,我的老婆阻止了我这么做。她问我有没有想过,像这样的刷单软件流传出去,那些不使用者是不是更无法抢到time slots?

这里面很多可能是老人,因为他们对于新的技术往往不能快速掌握。而能快速掌握新技术又往往是年轻人,但他们外出购买的风险是比老人低的。

更严重的是别人也可以修改你的软件,比如把刷单间隔减小,当这样的软件被大面积使用的时候,被刷单的服务器可能会过载并崩溃,最终让所有人都受害。

如果很草率的将这样的刷单软件发布出去,我们到底是在做好事,还是做坏事?所以最终,我没有公开这个软件,而只是私人分享给了我们身边可能有需要的老人和奋战在一线的医护人员家属,我自己从来没用过。

事实上,在我开发出来这个软件的两周后,有很多开发者陆续公布了类似功能的软件甚至开源,而从我们身边的反馈看,不使用刷单软件的人,确实更难以抢到位置,有的甚至要熬夜刷。

这件事情让我认识到,拥有技术的人其实也承担了更多的责任。即使你抱着一个好的想法,但是如果你不能听取不同的声音,不能够反思技术可能带来的不好后果,那么你可能会好心办坏事。
 
那么这件事情真正该谴责的是谁?我觉得是那些不负责任,把这些黑客树立为英雄的媒体和自媒体。

这些媒体提供的不是客观的报道,甚至刻意回避其这件事中的负面因素和可能的恶劣影响。

他们中的有些是在迎合自己的读者群,以获得稳定的流量,尤其是有的自媒体人,在强行利用这件博人眼球的事件,添油加醋,以达到在激烈对抗的政治环境下吸粉的目的。

也有技术类博主,毫不负责的炫耀和传播这些黑客技术。这些媒体不负责的行为,让年轻的黑客受到巨大的鼓励,让他们为自己的行为感到骄傲,从而可能促使他们在未来作出更多不计后果的事儿。

就像donk_enby的推特账号在媒体报道之后粉丝疯涨,而她本身也频繁出现在各种媒体的报道之中。媒体正在把她一边倒的塑造成一个黑客的典范代表,但这显然是不理智的。
 
最后希望每一个掌握技术的人都能通过这件事多一些思考,将理性的声音传递给身边不懂技术的朋友,去谨慎的运用我们掌握手中的力量。

因为技术的力量不是为了满足媒体的热度,不是为了个人的虚荣,不是仅为了个人的利益,而是为了能让更多的人从中受益。


文章首发“陌上美国”微信公号和电报频道,版权由“陌上美国”所有,未经许可严禁转载其他平台。违者将追究法律责任。






前文导读Parler之死比你想象的更可怕美国首席博主:警醒主义对自由民主制的空前挑战美国人努力抗争!拒绝做信息审查的难民炎热的冷土(上)炎热的冷土(下)
美国铁案孤独终老的法兰西情人,他曾抛弃“茜茜公主”有一种意乱情迷,叫加勒比海岛《美国大分裂》观后感岁月转动棱镜,光谱变了令人惊艳的新墨西哥州

 陌上美国 客观快捷的时评,和美国生活资讯。欢迎扫码或者点击开头蓝字关注。如何联系我们?

工作号微信ID: moshangUS

Email:hiusnews@gmail.com

Telegram加群(下载app修改privacy设置;拷贝群地址用浏览器打开(微信打开无效);点击“join/进入”)

https://t.me/joinchat/AAAAAE-W0yNiS6DIlGHsKA


点击左下角“阅读原文”

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存