在 1 月 6 日对华盛顿特区国会大厦的袭击中,暴徒在社交媒体上发布了他们暴行的照片和视频。他们使用的平台从 Facebook 等主流网站到 Parler 等小众网站不等,Parler 是一个在右翼团体中流行的社交网络服务。一旦他们意识到这些记录可能会让他们惹上麻烦,许多人开始删除他们的帖子。但互联网侦探们已经开始下载可能构成犯罪的材料。一位只在 Twitter 上以 @donk_enby 的用户名公开身份的研究人员领导了一项工作,她声称下载并存档了 99% 以上的所有数据,这些数据是在亚马逊网络服务公司停止托管该平台之前发布到 Parler 上的。《大众科学》多次向 Parler 的媒体团队发送电子邮件寻求置评,但在出版时未收到回复。
业余和联邦调查人员可以从这个巨大的信息宝库中提取大量信息,包括 Parler 用户的位置和身份。尽管许多研究 Parler 数据的人员是调查国会暴乱的执法官员,但这种情况生动地说明了社交媒体帖子——无论是极端的还是无害的——如何无意中泄露比预期多得多的信息。而且,调查人员合法使用的漏洞也可能被不良行为者轻易利用。
为了更多地了解这个问题,《大众科学》采访了 Rachel Tobac,她是一位道德黑客,也是 SocialProof Security 的首席执行官,该组织帮助公司发现网络攻击的潜在漏洞。“大多数人在想到黑客时谈论的人,他们是罪犯,”她说。“在黑客社区,我们试图帮助人们理解黑客是助手。我们是试图保护你安全的人。”为此,Tobac 还解释了主流社交媒体网站上甚至温和的帖子也可能泄露比许多用户预期的更多的个人信息,以及他们如何保护自己。
关于支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保关于当今塑造我们世界的发现和想法的有影响力的故事的未来。
[以下是采访的编辑文字记录。]
如何能够从 Parler 下载如此多的数据?
人们能够通过自动站点抓取下载和存档 Parler 的大部分内容。[Parler] 在 URL 本身中按编号对他们的帖子进行排序,因此任何具有编程知识的人都可以下载所有公共内容。这是一个基本安全漏洞。我们称之为不安全的直接对象引用,或 IDOR:Parler 帖子一个接一个地列出,因此如果您只是在 URL 中的[数字]上添加“1”,您就可以抓取下一个帖子,依此类推。这种特定类型的漏洞在 Facebook 或 Twitter 等主流社交媒体网站上找不到。例如,Twitter 会随机化帖子的 URL,并且需要身份验证才能使用这些随机化的 URL。这种[IDOR 漏洞]——再加上查看每个帖子不需要身份验证以及缺乏速率限制(速率限制基本上是指您可以请求提取数据的次数)——意味着即使是一个简单的程序也可以让人抓取网站上的每个帖子、每张照片、每个视频、所有元数据。
是什么让存档数据如此具有揭示性?
图像和视频在上线时仍然包含 GPS 元数据,这意味着现在任何人都可以绘制所有发布用户的详细 GPS 位置。这是因为我们的智能手机会记录 GPS 坐标和其他数据,例如镜头的类型以及照片和视频的时间。我们称之为 EXIF 数据——我们可以在手机上关闭它,但很多人只是不知道要关闭它。因此,他们将其嵌入到他们上传的文件中,例如视频或照片,并且他们会在不知不觉中泄露有关其位置的信息。互联网上的人、执法部门、联邦调查局可以使用这些信息来确定这些特定用户居住、工作、花费时间的地方——或者他们在发布该内容时所在的位置。
调查人员可以从主流平台上的帖子中提取类似的信息吗?
EXIF 数据在 Facebook 和 Twitter 等地方被清除,但我们仍然有很多人没有意识到他们在发布帖子时会泄露多少关于自己位置和信息。即使 Parler 清除了 EXIF 数据,我们也在这次事件期间看到许多帖子中,人们在当天将其 Instagram 快拍的地理位置标记到国会大厦,或者在 Facebook Live 上公开直播他们的行为并标记他们的位置。我认为这是一种普遍缺乏理解,或者可能没有意识到他们正在泄露多少数据。而且我认为很多人也没有意识到他们可能不想在那次事件中进行地理位置标记。
在更正常的情况下,地理位置标记有问题吗?
许多人认为,“嗯,我没有做错什么,所以我为什么要关心我是否发布照片?” 但是,让我们举一个非常无害的例子,例如去度假。[如果] 你将酒店的地理位置标记,作为攻击者我能做什么?嗯,显而易见的是:你不在家。但我感觉大多数人都明白这一点。他们可能不明白的是,我可以进行社会工程:我可以访问有关您在酒店的人力系统的信息。我可以打电话给您的酒店,假装是您,并获得有关您旅行计划的信息。我可以窃取您的酒店积分。我可以更改您的房间。我可以做所有这些邪恶的事情。我们可以做很多事情,并且真的可以操纵,因为我们的服务提供商并没有按照我建议的方式通过电话进行身份验证。你能想象一下,如果你可以通过使用你当前的地址、你的姓氏和你的电话号码来登录你的 Gmail 帐户、日历或类似的东西吗?但是,许多不同的公司就是这样工作的。他们没有使用与他们在网站上使用的相同的身份验证协议。
人们如何保护自己?
我不认为告诉人们他们不能发布是公平的。我每天在 Twitter 上发布多次!我不会说“你不能这样做”,而是建议对我们在网上发布的内容保持我所谓的“礼貌的偏执”。例如,我们可以发布关于度假的信息,但我们不希望帖子中包含位置或服务提供商识别标记。那么,你发布一张日落和玛格丽塔的照片怎么样,但不要对酒店进行地理位置标记?这些非常小的改变可以帮助人们长期保护他们的隐私和安全,同时仍然可以从社交媒体中获得他们想要的一切。如果你真的想要一个地理位置标记,你可以保存你所在的城市,而不是酒店:[那么] 我就不能打电话给城市,试图获取你的酒店积分或更改你的计划。
社交媒体网站是否应该阻止地理位置标记?平台在保护其用户方面有哪些责任?
我认为所有平台,包括社交媒体平台,都遵循有关安全和隐私的最佳实践来保护其用户安全非常重要。在用户发布照片或视频之前为他们清除元数据也是最佳实践,这样他们就不会在不知不觉中损害自己。所有这些都是平台的责任;我们必须让他们做到这一点[并]确保他们做到这些事情。之后,我会说个人可以选择他们愿意承担多少风险。我努力确保非安全人员了解风险:例如地理位置标记、[提及] 服务提供商以及拍摄他们的许可证、信用卡、礼品卡、护照、机票——现在我们看到 COVID-19 疫苗接种卡上也有敏感数据。例如,我不认为社交媒体公司有责任规定某人可以或不可以发布什么,当涉及到他们的旅行照片时。我认为这取决于用户决定他们想如何使用该平台。我认为我们作为 [信息安全] 专业人员有责任清楚地传达这些风险是什么,以便人们可以做出明智的决定。