前有“程序員刪庫跑路”，后有 CTO 在網(wǎng)站后臺引入 Bug，導(dǎo)致公司 1.5 萬賬戶信息外泄。

近日，據(jù)外媒報道，美國開源社交網(wǎng)絡(luò)服務(wù)平臺 Gab 受到黑客攻擊，其中，包括一些知名人士在內(nèi)的 1.5 萬 Gab 賬號及個人信息遭到泄露。

據(jù)悉，一位未透露姓名的黑客利用 SQL 注入漏洞入侵 Gab 后臺，并從數(shù)據(jù)庫中竊取了約 70 GB 數(shù)據(jù)提供給了爆料組織 Distributed Denial of Secrets（簡稱 DDOSecrets）。這些數(shù)據(jù)包括了 7 萬多條信息、4000 多萬條帖子，以及哈希密碼、明文密碼、用戶個人資料等。

然而，在 Gab 公司審查并欲修復(fù)漏洞之際，竟然發(fā)現(xiàn)此 Bug 出自自家公司的 CTO 之手，而這究竟又是怎么一回事？

CTO 寫的 Bug，后果很嚴(yán)重！

正如上文所述，Gab 公司在遭到黑客攻擊后，爆料組織 DDOSecrets 團(tuán)隊公開發(fā)文表示，“正在將這些泄露的數(shù)據(jù)匯編成了一個 GabLeaks 的文件，同時將對外分發(fā)共享此數(shù)據(jù)集，記者、學(xué)者以及研究者可以通過公開渠道與其獲得聯(lián)系，對這些信息進(jìn)行研究學(xué)習(xí)。”

在知曉這一消息之后，Gab 創(chuàng)始人 Andrew Torba 發(fā)表聲明強(qiáng)烈譴責(zé)了相關(guān)的組織以及傳播的記者。

不過，就在譴責(zé)泄露組織及相關(guān)人員之際，Gab 內(nèi)部也對網(wǎng)站的整體安全進(jìn)行了審查。然而萬萬沒想到的是，在快速瀏覽了 Gab 的開放源代碼之后，竟然發(fā)現(xiàn)關(guān)鍵漏洞（至少有一個非常類似的漏洞）是源自 Gab CTO 提交的代碼。

據(jù)外媒報道，通過查看 Gab 公司提交的“Git commit”更改記錄中發(fā)現(xiàn)，今年 2 月，有一個名為 Fosco Marotto 的軟件開發(fā)者，提交了一份代碼。在這份代碼中存在一個很明顯的錯誤類型，而這往往是新手才容易犯的錯誤，即第 23 行代碼中，拆分了“reject”和“filter”代碼，這兩個 API 函數(shù)實現(xiàn)了防止 SQL 注入攻擊的編程習(xí)慣。

這種慣用的方法可以幫助程序員能夠以安全的方式編寫 SQL 查詢功能，且可以“清理”網(wǎng)站訪問者在搜索框和其他 Web 網(wǎng)站中輸入的字段，借此來確保在將文本傳遞給后端服務(wù)器之前，先清除掉所有惡意命令。

不過，開發(fā)者也需要向一個包含“find_by_sql” 方法的 Rails 函數(shù)添加了一個調(diào)用，這一方法直接在查詢字符串中接受未經(jīng)過濾的輸入（Rails 是一種廣泛使用的網(wǎng)站開發(fā)工具包）。

對此，F(xiàn)acebook 的前產(chǎn)品工程師 Dmitry Borodaenko 在一封電子郵件中寫道，“ 或許 Rails 的官方文檔沒有警告過用戶存在這個陷阱，但是，如果作為開發(fā)者，完全了解在 Web 應(yīng)用程序中使用 SQL 數(shù)據(jù)庫的任何知識，那么，相信你也聽說過 SQL 注入，由此也不難發(fā)現(xiàn)“find_by_sql”方法不正確的警告。”

同時， Dmitry Borodaenko 指出，“現(xiàn)在并非能夠 100％ 確認(rèn)這是在 Gab 數(shù)據(jù)泄露中使用的漏洞，但是不排除可能性，現(xiàn)在 Gab 團(tuán)隊已經(jīng)將其在 GitLab 存儲庫中提交的最新代碼恢復(fù)到了上一版本 。”

那么，要問 Fosco Marotto 是何許人也？

據(jù)悉，F(xiàn)osco Marotto 此前在 Facebook 作為軟件工程師任職 7 年，2020 年 11 月，正式加入 Gab 平臺擔(dān)任 CTO 一職。針對上面所犯的錯誤，也頗具有諷刺意義的是，F(xiàn)osco 曾在 2012 年提醒過其他程序員，一定要使用參數(shù)化查詢來防止 SQL 注入漏洞。

如今，Gab 已從其網(wǎng)站刪除了 Git commit。

來源：csdn