水货 CTO 入职不到半年犯下低级错误，将公司拖入无底深渊.docxVIP

水货 CTO 入职不到半年犯下低级错误，将公司拖入无底深渊 黑客利用 SQL 注入漏洞从 Gab 的后台数据库中窃取了大约 70GB 的平台用户数据，包含该网站的 4000 多万条帖子，之后将所盗走的 70GB 数据交给了爆料网站 Distributed Denial of Secrets（DDoSecrets）。泄露的数据包含公开 / 私人贴文、哈希密码与用户私有讯息，涉及 1.5 万名用户，其中还包括前美国总统特朗普。DDoSecrets 已经将这些数据汇编成了一个名为 GabLeaks 的东西，打算将其供应应特定的记者、社会科学家和争辩人员进行进一步分析。 作为一家初创公司，泄露 70G 数据无疑严峻影响了用户权益，这个乱摊子让 Gab 的 CEO 疲于应付。2 月 26 日，最后，CEO 安德鲁·托尔巴（Andrew Torba）在 Gab 网站声明中否认了这一入侵行为，但数据泄露之后他又不得不承认已经发生了入侵行为，并且还称攻击者为“恶魔黑客”。Torba 说，该公司已意识到“该领域存在漏洞，并于上周对其进行了修补。” 并且还将着手进行全面的平安审核，在 2 月 28 日的一份声明中，他表示：“整个公司将全力调查发生的事情，并努力追踪和修补问题。” 黑客发 Twitter 称赞 Gab CEO 被吓坏了。 通过查看公司的 git commit 发觉，导致关键漏洞的代码变更，是在 2 月份的某个时候从 Fosco Marotto 的账户上进行的，他是一名前 Facebook 软件工程师，11 月成为 Gab 的 CTO。周一，Gab 将此 git commit 从网站上删除，但网络上已有图片保存了关键代码。 这张图片显示的是 2 月份的软件变更情况，图片来自一家保存提交的快照的网站。提交的内容显示，一名软件开发人员使用 Fosco Marotto 的账户提交了代码，代码中明显存在新手错误，这种错误可能会导致报道中的泄密大事。具体来说，第 23 行删除了“reject”和“filter”的代码，这两个 API 函数实现了防止 SQL 注入攻击的编程实践。 这一习惯允许程序员以平安的方式编写 SQL 查询，以“清理”网站访问者在搜索框和其他 Web 字段中输入的内容，确保全部恶意命令在文本传递到后端服务器之前被清除。取而代之的是，开发人员向包含 find_by_sql 方法的 Rails 函数添加一个调用，该方法直接接受查询字符串中未经清理的输入。Rails 是一套广泛使用的网站开发工具包。 “假如你晓得在 Web 应用中使用 SQL 数据库，那么你将听说过 SQL 注入，而且不难发觉 find_by_sql 方法担忧全警告。Facebook 的前产品工程师 Dmitry Borodaenko 在一封电子邮件中提示了我这个问题。“现在还不能 100% 确定这就是 Gab 数据泄露大事中所使用的漏洞，但是确定有可能是这样的漏洞，在最近提交的 GitLab 仓库中消灭的代码更改被恢复，然后他们就让代码离线了。”具有讽刺意味的是，早在 2021 年，Fosco 就曾警告程序员同行们，要使用参数化查询来防止 SQL 注入漏洞。 删除担忧全的代码，隐蔽证据 Gab 开发的平安代码流程遭到质疑，同时，这家社交媒体网站因从其网站中删除提交而遭到批判。批判者称，此举违反了 Affero 通用公共许可证的条款，该许可证把握 Gab 对 Mastodon 的重用（用于托管社交网络平台的开源软件包）。 译注：Affero 通用公共许可证（Affero General Public License，Affero GPL 或 AGPL），是一个广泛被使用的自在软件特许条款，最后由 Affero, Inc 撰写。此特许条款最新版本为第 3 版（v3），2007 年 11 月发布。Affero 通用公众特许条款是改自 GNU 通用公众特许条款，并加入额外条款，其目的是为了 Copyleft 条款应用于在网络上运转的应用程序（如 Web 应用），从而避开有人以应用服务供应商方式躲避 GNU 通用公众特许条款。 上述批判者称，这一删除行为违反了一条规定，即要求复刻（fork）的源代码直接从网站上链接。该要求的目的是供应透亮?????度，让其他开源开发者也能从 Gab 同行的工作中受益。 Gab 长期以来一直在 / 供应提交内容。然后，在周一，该网站突然删除了全部的提交：包括那些创建并修复了关键 SQL 注入漏洞的提交。取而代之的是，Gab 供应了 Zip 存档文件方式的源代码，该文件由密码“JesusChristIsKingTrumpWonTheElection”（不含双引号）爱护。 Mastodon 项目的代表没有马上回复询问他们能否同意批判者的担忧的电