Aurich Lawson
El asediado sitio de redes sociales Gab fue violado el lunes, lo que marca la segunda vez en tantas semanas que los piratas informáticos obtienen acceso no autorizado a una plataforma que atiende a los usuarios que promueven el discurso de odio y las teorías de conspiración a favor de Trump.
El compromiso salió a la luz después de que alguien secuestró la cuenta del fundador y director ejecutivo de Gab, Andrew Torba, y dejó una publicación en la que lo criticaba por no pagar un rescate de 8 bitcoins por la devolución segura de los documentos utilizados para verificar la identidad de algunos usuarios. El pirata informático desconocido también acusó a Torba de no rev elar el alcance completo de la infracción anterior.
https://archive.md/mSYxk
Gab rápidamente desconectó el sitio y eliminó la publicación, pero no antes de que fuera archivada. aquí. Cuando se restableció el servicio unas horas más tarde, Torba publicó un declaración diciendo que la infracción del lunes fue el resultado de que los administradores del sitio no revocaron Tokens de portador de OAuth2, que los navegadores y las aplicaciones móviles almacenan después de que un usuario ha iniciado sesión correctamente en un sitio.
Recolección de fichas
“El atacante que robó datos de Gab cosechó tokens de portador OAuth2 durante su ataque inicial”, escribió Torba. “Aunque se reparó su capacidad para recolectar nuevas fichas, no eliminamos todas las fichas relacionadas con el ataque original. Al reutilizar estos tokens antiguos, el atacante pudo publicar 177 estados en un período de 8 minutos hoy “.
El fracaso de Gab para purgar los tokens de portador puede deberse a la falta de familiaridad con el código abierto Código de mastodonte el sitio se ejecuta o la falta de voluntad para exigir a los usuarios que pasen por la molestia de restablecer los tokens de portador de OAuth2. El robo de los tokens fue una sorpresa para muchos porque no estaban incluidos en un tesoro de datos pirateados de Gab. al corriente por el sitio al estilo de Wikileaks Distributed Denial of Secrets después de la violación.
“Creo que lo que es digno de mención aquí es que nunca supieron que se obtuvieron estos datos, al menos no en base a sus informes”, dijo Troy Hunt, propietario del servicio de notificación de violaciones. esta notificación que Gab publicó el sábado. Hunt dijo que también estaba sorprendido de que Gab aún no haya aplicado un restablecimiento de contraseña obligatorio para todos los usuarios. Dichos restablecimientos son una práctica estándar después de que los sitios experimentan violaciones que comprometen los datos del usuario.
La primera infracción salió a la luz el lunes pasado, cuando DDoSecrets dijo que obtuvo 70 GB de contraseñas, publicaciones privadas y más de Gab y los estaba poniendo a disposición de investigadores y periodistas selectos. Los datos, dijo la cofundadora de DDoSecrets, Emma Best, fueron proporcionados por un pirata informático no identificado que violó a Gab al explotar una vulnerabilidad de inyección de SQL en el código del sitio web de Gab.
Tratando de mantenerse a flote
Poco después de que se descubriera la primera infracción, alguien de Gab reparó una vulnerabilidad crítica de inyección de SQL que fue introducida en el código del sitio web por el CTO del sitio, Fosco Marotto. Marotto se negó a decir si esa vulnerabilidad fue la que los piratas informáticos explotaron para apoderarse del sitio, pero la introducción del error a principios de este año y su eliminación tan pronto después del compromiso del sitio avivó la especulación de que efectivamente fue la que se usó en el ataque.
Marotto no respondió de inmediato a un correo electrónico en busca de comentarios para esta publicación.
Gab ha estado luchando por mantenerse a flote durante más de dos años, ya que continúa brindando un refugio para el discurso de odio y las teorías de conspiración. En 2017, Google eliminó la aplicación Gab de Play Store por infracciones de los términos de servicio. Un año después, el anfitrión web GoDaddy canceló el servicio a Gab después de que uno de sus usuarios visitara el sitio para criticar a la Sociedad Hebrea de Ayuda al Inmigrante poco antes de matar a 11 personas en una sinagoga de Pittsburgh.
La revelación de que el pirateo anterior expuso tokens de portador de OAuth 2 deja abierta la posibilidad de que los responsables obtuvieran otro tipo de datos confidenciales de los usuarios. Y si ese es el caso, es posible que los problemas de seguridad de Gab aún no hayan terminado.
La publicación se actualizó para eliminar el penúltimo párrafo, que contenía información incorrecta sobre la relación de Gab con Amazon.