《包括特朗普在内的 1.5 万 Gab 账号被盗》 极右翼社交平台 Gab 的创始人 Andrew Torba 发表声明(存档)承认,包括特朗普在内的 1.5 万 Gab 账号被盗。未披露身份的黑客利用 SQL 注入漏洞入侵了 Gab,将窃取的 70GB 数据提供给了泄密组织 Distributed Denial of Secrets。这些数据包括了 1.5 万 Gab 用户的 7 万多条信息,以及哈希密码、用户资料和私聊。Gab 创始人在声明中诅咒了 Distributed Denial of Secrets 的联合创始人 Emma Best 以及报道这起被称为 GabLeaks 事件的记者。 | https://www.solidot.org/story?sid=67073
@solidotbot 按照這個說法,那FB,Twitter這些平臺算是極左翼社交平臺了。。
而且,Gab應該使用的是Mastodon,推測Gab在所有mastodon實例的維護團隊裏能力應該是比較強的,還被用SQL注入的漏洞拖庫了,那其他mastodon實例可能也面臨隨時被拖庫的風險,需要引起mastodon開發者和實例管理者的警覺
@KagurazakaInkscape@mastodon.social @Gargron@mastodon.social @shonalika@deadinsi.de
并不是,不要猜了,mastodon的团队已经看了,就是Gab自己改写mastodon时引入的漏洞。
而且他们从来不从mastodon上游拉取security patch🤪
https://mastodon.social/@Gargron/105819655956170794
@376668346 @Gargron @shonalika I know the truth is that these vulnerabilities have no relation with Mastodon. What concerns me is the process by which these Trump supporters, from China (CN), Hong Kong (HK) and Taiwan (TW), came to this conclusion.
I think that one of the reasons is that they can't tell the differences from Mastodon, Gab, MeWe, Misskey, etc. They just treat them as "Twitter's alternatives where I can speech freely".
@KagurazakaInkscape@mastodon.social @Gargron@mastodon.social @shonalika@deadinsi.de
如果他们甚至都不清楚gab是用魔改mastodon搭的,那么他们为什么会因为 #GabLeaks 认为Mastodon和类似产品不安全呢?🤔
@KagurazakaInkscape@mastodon.social @shonalika@deadinsi.de 如你所说,他们甚至都区分不了这些Twitter-alternatives的区别
@376668346 @shonalika This person is a little different from those ones who don't even know the relationship between Mastodon and Gab.
They (he or she) knows that Gab is based on source codes from Mastodon. However, they doesn't think that Mastodon society is , may be, and should be opposed to Gab.
@KagurazakaInkscape @376668346 @Gargron @shonalika 這個翻譯扭曲了原文的本意。首先這是個純技術問題,畢竟使用改動過的Mastodon源碼的實例並不只是Gab一個,Gab的管理團隊應該也不是安全意識最差的實例維護者,可能存在SQL注入這種高危漏洞有多個環節,比如Mastodon的源碼,或者改動原貌引入的漏洞,或者系統配置引入的安全性問題,或者是社會工程的漏洞,最好的情況是專業技術人員能夠分析出出問題的原因並避免其他實例也出同樣的安全問題
@376668346 首先定性「首先這是個純技術問題」,然後執行核心操作:將「比較強的」偷換為「不是最差的」。
看來此人不可小視。
@376668346 What was deleted by they?
@376668346 @KagurazakaInkscape @Gargron @shonalika
謝謝,這篇文章很生動,mastodon不該因Gab而受質疑
黑客展示了怎麼通過一段糟糕的代碼得到整個數據庫的,Gab的這位CTO犯了一連串錯誤,所以寫好CRUD並不是那麼簡單
@nil@qoto.org @KagurazakaInkscape@mastodon.social @Gargron@mastodon.social @shonalika@deadinsi.de
我不知道你那边的编程课程是怎么样的,我们这边的编程课可没教我们 直接把用户输入变成SQL查询语句 。更别提这种问题程序 任何静态程序安全性测试工具都会警告 ,所以要么他们根本没有任何SAST工具,要么他们故意忽略了这个警告。
这不是技术问题,这是 自大的白痴 。
#GabLeaks
@376668346 @KagurazakaInkscape @Gargron @shonalika 贊同你的觀點。
我沒有用過ruby,也不是這方面的專業人員,也許這位前FB的程序員並不熟悉ruby,但如果沒有如此快的把有問題的代碼應用到生產環境並公開,也會好一些吧
Translate: "Moreover, Gab should be using Mastodon. It's INFERRED that Gab's ability to manage and maintain its instance should be stronger than most moderation staffs of Mastodon instances, whereas it still be dragged with SQL injection vulnerability, so other mastodon instances may also face the risk of being dragged at any time, which needs to cause Mastodon developers and instance managers to be alerted."
It's interesting to investigate what this "INFER" means.
@Gargron @shonalika