堂堂一家公司的CTO,究竟能水到什么水平?
由于一个低级错误,70GB大小的信息数据被泄露,公司还被黑客敲诈了50万美元。
而被发现后,他为了隐藏证据,竟还删掉了代码…
这就是最近在一个社交媒体网站Gab上发作的真实事情。
上周末,黑客经过SQL注入破绽入侵他们的官网,并窃取了15000位用户的数据。
这其中还包括特朗普。
后经媒体调查发现,关键破绽竟是由该公司的CTO形成的。
而这位CTO是一位入职不到半年,但有着23年开发阅历的工程师。
其前东家更是名牌“大厂”——Facebook。
于是就有网友质疑,这是公司眼瞎了?还是CTO太水了?
大厂“毕业”CTO,犯下致命低级错误而事情的原因,是一位黑客应用SQL注入破绽入侵了公司后台,窃取了数据。
这其中包含用户地下、公家的帖子、哈希密码以及公家材料,共触及70000条信息。
不光如此,黑客还将此事泄漏给了一个爆料网站DDoSecrets,与维基解密相似,从事披露黑客窃取的数据和秘密信息等任务。
在事情地下之前,该网站的记者还在社交网络上寻衅Gab的CEOAndrew Torba:
DDoSecrets甚至都没有宣布任何音讯,Gab就曾经惧怕了。
随后,不少媒体、专家在调查了这家公司的git commit记载之后发现,是一个名叫“Fosco Marotto”账户,更改了后台的代码,才让黑客有隙可乘。
而Fosco Marotto,正是公司的CTO。
不过目前,提交代码曾经被删除。
但还是被有心人找出了事先的网站快照。
快照上显示,代码中存在清楚的低级错误,第23行中的“reject”和“filter”被删除了。
这两个API函数,本来用于阻拦SQL注入破绽的攻击。
详细而言,就是当SQL指令传送到后端数据库效劳器时,确保其中的恶意命令曾经被肃清。
但他们没有采取这种做法,而是在Rails函数中,添加了一个包含 “find_by_sql”办法的调用,招致查询字符串中的输入未经过滤,而被直接接受。
(Rails是一个网站开发工具包)
一位Facebook 的前产品工程师Dmitry Borodaenko表示:
假设对SQL数据库有任何了解的话,就应该听说过SQL注入攻击。
虽然如今还不能百分百确定是由这个破绽所惹起的,但也是极有能够的。
还有不少专家批判了公司预先删除git commit的行为。
这种删除违犯了“分支源代码必须地下透明”的条款。
挖苦的是,早在2012年,这位CTO还在StackOverFlow上正告过其他顺序员别犯这样的错误:
应该运用参数化查询,避免被SQL注入攻击。
因此就不免让部分网友疑心,这次他是成心泄露数据的。
事情还没有地下报道的时分,Gab就立刻回应了此事,应该是由于一些记者收到了该公司的泄露数据。
2月26日,Gab CEOAndrew Torba就宣布官方声明,否认了这一入侵行为。
我们发现了这一破绽,并在上周曾经停止了修补,还将着手停止片面的安全审核。
并表示就团体信息而言,Gab从用户那里搜集的信息十分少。因此一旦发作走漏,对用户的影响也会降至最低。
但这件事被ArsTechnica报道、事态愈加严重之后,Gab选择了与CTO站在一同分歧对外。
CEOAndrew Torba连发两条声明,供认了官网被入侵这一理想。
他还表示公司正遭到黑客的敲诈,赎金为近500000美元的比特币,并且此事曾经向执法部门报告。
(责任编辑:admin)