《包括特朗普在内的 1.5 万 Gab 账号被盗》 极右翼社交平台 Gab 的创始人 Andrew Torba 发表声明(存档)承认,包括特朗普在内的 1.5 万 Gab 账号被盗。未披露身份的黑客利用 SQL 注入漏洞入侵了 Gab,将窃取的 70GB 数据提供给了泄密组织 Distributed Denial of Secrets。这些数据包括了 1.5 万 Gab 用户的 7 万多条信息,以及哈希密码、用户资料和私聊。Gab 创始人在声明中诅咒了 Distributed Denial of Secrets 的联合创始人 Emma Best 以及报道这起被称为 GabLeaks 事件的记者。 | https://www.solidot.org/story?sid=67073
#Mastodon #Security #安全 #SQL #PostgreSQL #SQL注入
#Mastodon #Security #安全 #SQL #PostgreSQL #SQL注入
问题未必出自Mastodon身上。有人认为,安全问题可能是Gab在二次开发过程中引入的。
Follow
@ngers gab的源碼 https://code.gab.com/gab/gab-open-source, 應該可以很容易看到做了什麼修改
@ngers 首先,我認為需要正確認識“安全”這個概念,絕對的安全不是我們追求的目標,可能Gab被脫庫主要原因是上面有不少重量級人物或內容,才會有人要不惜成本的入侵它。
對一般人來說,安全意味著對不想被別人拿到的內容的把控權,至少別人想要通過非正常渠道獲取不應該獲取信息的成本和信息本身的價值不合算。
在有規模的網路公司,會有一系列流程和專業安全團隊來確保安全性,但對于有些場景來說,可能隨便買一個VPS甚至還不熟悉Linux指令用一鍵安裝腳本裝出來可以註冊使用的實例的安全性已經足夠了
我覺得對于一個主機來講,信息安全是個系統工程。一個房間有一百個門,你鎖上了99個,它還是很容易被闖入的,但還是比只鎖了10個門的房間安全。
