神奇Parler被Hack DB

Posted on Thu, Jan 14, 2021 時政評論 科技趣聞 Parler 爆DB 捉鬼啦

Parler真係應該載入IT9史冊……以bad case。

簡單概括:

0.Twilio意外地reveal咗parlet用緊嘅service,包括註冊、登入等一切嘅auth。

1.但同時因爲admin account都可以登入,所以parler個admin account被hacker爆咗,成個db抄咗份copy。

2.點解可以做到呢件事?因爲當佢2fa驗證失敗嘅時候,竟然會行驗證成功嘅flow...

sample code:

3.DB當中包括各種個人資料和post嘅所有信息,甚至乎Deleted嘅post依然存在DB當中,只係加咗個flag delete=true使得client唔會顯示。

example:

try{
    twilio.verify2fa()
catch{
    isAuth = true
}

(其實唔真正delete算係一般做法來,至少有事嘅時候可以搵返。但對parler來講……FBI多謝你)

4.DB當中包括明文儲存嘅個人資料……唔係Profile咁簡單,而係部分用戶曾經做實名驗證嘅車牌啊之類嘅個人證件嘅圖片竟然唔使用後移除而係一直以明文儲存於DB當中,FBI再多謝你。

5.雖然原本只有Admin Account可以接觸到呢啲資訊不過……你睇,Hacker都可以咁簡單爆到,FBI……只能再次多謝你。

6.所以點解FBI可以係國會案後咁快拉到 no-fly list,多謝Parler通力合作。 #Parler係鬼 #出賣義士

總結:

若果你覺得FB、Google、Apple係衰人,咁你就唔好信任何人,包括Parler、MeWe之類嘅網站。若果你自覺你嘅觀點可以被主流定義爲犯法嘅話,我建議你最好唔好用你嘅Account提交任何身份證明或任何可以定位到你個人嘅信息 to internet。同時你應該假設一旦有任何嘢上咗網,佢永遠唔會消失。

但,你趕住送頭我唔通阻止你咩(笑)