在 1 月 6 日對華盛頓特區國會大廈的襲擊中,暴徒在社交媒體上釋出了他們暴行的照片和影片。他們使用的平臺從 Facebook 等主流網站到 Parler 等小眾網站不等,Parler 是一個在右翼團體中流行的社交網路服務。一旦他們意識到這些記錄可能會讓他們惹上麻煩,許多人開始刪除他們的帖子。但網際網路偵探們已經開始下載可能構成犯罪的材料。一位只在 Twitter 上以 @donk_enby 的使用者名稱公開身份的研究人員領導了一項工作,她聲稱下載並存檔了 99% 以上的所有資料,這些資料是在亞馬遜網路服務公司停止託管該平臺之前釋出到 Parler 上的。《大眾科學》多次向 Parler 的媒體團隊傳送電子郵件尋求置評,但在出版時未收到回覆。
業餘和聯邦調查人員可以從這個巨大的資訊寶庫中提取大量資訊,包括 Parler 使用者的位置和身份。儘管許多研究 Parler 資料的人員是調查國會暴亂的執法官員,但這種情況生動地說明了社交媒體帖子——無論是極端的還是無害的——如何無意中洩露比預期多得多的資訊。而且,調查人員合法使用的漏洞也可能被不良行為者輕易利用。
為了更多地瞭解這個問題,《大眾科學》採訪了 Rachel Tobac,她是一位道德駭客,也是 SocialProof Security 的執行長,該組織幫助公司發現網路攻擊的潛在漏洞。“大多數人在想到駭客時談論的人,他們是罪犯,”她說。“在駭客社群,我們試圖幫助人們理解駭客是助手。我們是試圖保護你安全的人。”為此,Tobac 還解釋了主流社交媒體網站上甚至溫和的帖子也可能洩露比許多使用者預期的更多的個人資訊,以及他們如何保護自己。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保關於當今塑造我們世界的發現和想法的有影響力的故事的未來。
[以下是採訪的編輯文字記錄。]
如何能夠從 Parler 下載如此多的資料?
人們能夠透過自動站點抓取下載和存檔 Parler 的大部分內容。[Parler] 在 URL 本身中按編號對他們的帖子進行排序,因此任何具有程式設計知識的人都可以下載所有公共內容。這是一個基本安全漏洞。我們稱之為不安全的直接物件引用,或 IDOR:Parler 帖子一個接一個地列出,因此如果您只是在 URL 中的[數字]上新增“1”,您就可以抓取下一個帖子,依此類推。這種特定型別的漏洞在 Facebook 或 Twitter 等主流社交媒體網站上找不到。例如,Twitter 會隨機化帖子的 URL,並且需要身份驗證才能使用這些隨機化的 URL。這種[IDOR 漏洞]——再加上檢視每個帖子不需要身份驗證以及缺乏速率限制(速率限制基本上是指您可以請求提取資料的次數)——意味著即使是一個簡單的程式也可以讓人抓取網站上的每個帖子、每張照片、每個影片、所有元資料。
是什麼讓存檔資料如此具有揭示性?
影像和影片在上線時仍然包含 GPS 元資料,這意味著現在任何人都可以繪製所有釋出使用者的詳細 GPS 位置。這是因為我們的智慧手機會記錄 GPS 座標和其他資料,例如鏡頭的型別以及照片和影片的時間。我們稱之為 EXIF 資料——我們可以在手機上關閉它,但很多人只是不知道要關閉它。因此,他們將其嵌入到他們上傳的檔案中,例如影片或照片,並且他們會在不知不覺中洩露有關其位置的資訊。網際網路上的人、執法部門、聯邦調查局可以使用這些資訊來確定這些特定使用者居住、工作、花費時間的地方——或者他們在釋出該內容時所在的位置。
調查人員可以從主流平臺上的帖子中提取類似的資訊嗎?
EXIF 資料在 Facebook 和 Twitter 等地方被清除,但我們仍然有很多人沒有意識到他們在釋出帖子時會洩露多少關於自己位置和資訊。即使 Parler 清除了 EXIF 資料,我們也在這次事件期間看到許多帖子中,人們在當天將其 Instagram 快拍的地理位置標記到國會大廈,或者在 Facebook Live 上公開直播他們的行為並標記他們的位置。我認為這是一種普遍缺乏理解,或者可能沒有意識到他們正在洩露多少資料。而且我認為很多人也沒有意識到他們可能不想在那次事件中進行地理位置標記。
在更正常的情況下,地理位置標記有問題嗎?
許多人認為,“嗯,我沒有做錯什麼,所以我為什麼要關心我是否釋出照片?” 但是,讓我們舉一個非常無害的例子,例如去度假。[如果] 你將酒店的地理位置標記,作為攻擊者我能做什麼?嗯,顯而易見的是:你不在家。但我感覺大多數人都明白這一點。他們可能不明白的是,我可以進行社會工程:我可以訪問有關您在酒店的人力系統的資訊。我可以打電話給您的酒店,假裝是您,並獲得有關您旅行計劃的資訊。我可以竊取您的酒店積分。我可以更改您的房間。我可以做所有這些邪惡的事情。我們可以做很多事情,並且真的可以操縱,因為我們的服務提供商並沒有按照我建議的方式透過電話進行身份驗證。你能想象一下,如果你可以透過使用你當前的地址、你的姓氏和你的電話號碼來登入你的 Gmail 帳戶、日曆或類似的東西嗎?但是,許多不同的公司就是這樣工作的。他們沒有使用與他們在網站上使用的相同的身份驗證協議。
人們如何保護自己?
我不認為告訴人們他們不能釋出是公平的。我每天在 Twitter 上釋出多次!我不會說“你不能這樣做”,而是建議對我們在網上釋出的內容保持我所謂的“禮貌的偏執”。例如,我們可以釋出關於度假的資訊,但我們不希望帖子中包含位置或服務提供商識別標記。那麼,你釋出一張日落和瑪格麗塔的照片怎麼樣,但不要對酒店進行地理位置標記?這些非常小的改變可以幫助人們長期保護他們的隱私和安全,同時仍然可以從社交媒體中獲得他們想要的一切。如果你真的想要一個地理位置標記,你可以儲存你所在的城市,而不是酒店:[那麼] 我就不能打電話給城市,試圖獲取你的酒店積分或更改你的計劃。
社交媒體網站是否應該阻止地理位置標記?平臺在保護其使用者方面有哪些責任?
我認為所有平臺,包括社交媒體平臺,都遵循有關安全和隱私的最佳實踐來保護其使用者安全非常重要。在使用者釋出照片或影片之前為他們清除元資料也是最佳實踐,這樣他們就不會在不知不覺中損害自己。所有這些都是平臺的責任;我們必須讓他們做到這一點[並]確保他們做到這些事情。之後,我會說個人可以選擇他們願意承擔多少風險。我努力確保非安全人員瞭解風險:例如地理位置標記、[提及] 服務提供商以及拍攝他們的許可證、信用卡、禮品卡、護照、機票——現在我們看到 COVID-19 疫苗接種卡上也有敏感資料。例如,我不認為社交媒體公司有責任規定某人可以或不可以釋出什麼,當涉及到他們的旅行照片時。我認為這取決於使用者決定他們想如何使用該平臺。我認為我們作為 [資訊安全] 專業人員有責任清楚地傳達這些風險是什麼,以便人們可以做出明智的決定。