极客公园微信号:geekpark
知乎信息泄露
转载自三节课微信公众号(ID: sanjieke),极客公园已获转载授权。
今天下午,知乎出大事了.......
今天下午约 2 点 30 分左右,三节课的布棉老师用自己的 iPhone 登录知乎,然后他就看到了如下让他震惊的界面:
如果你没能理解上图意味着什么,让我来告诉你——
1. 这个账号不是布棉老师自己的;
2. 布棉老师在这里可以完全看到这个用户的私信;
3. 甚至是该用户的匿名回答,布棉老师也完整能看到。
所以,这背后可能意味着大量知乎用户隐私信息的泄露!
2 点 35,经我们测试确认,只有 iOS 端存在此问题,安卓则一切正常。
我们使用另一台 iOS 手机登录知乎,发现此时的知乎 iOS 端连加载都出现了问题,将 WiFi 换成了 4G 之后也没有什么动静。
与此同时,登陆的也不是自己的账号,也不认识.......也会收到并不是发给自己的私信。
而每次退出重新登录后,又会换成和刚刚那个陌生人又不一样的另外一个陌生人。这个时候的知乎,似乎已经完全乱套了。
约 2 点 45 前后,知乎官方似乎采取了一些措施,串号现象不再出现,但在个人页中出现了一行代码报错,用户无法进行其它操作。
约 2 点 50 分左右,知乎官方疑似直接切断了服务器,整个知乎 app 在 iOS 端已无法访问。
应该说,此次事故是一次极度严重的事故。
想象一下吧,你某天在知乎匿名发布的涉及到老东家诸多内幕信息的回答明天突然被人爆出,会对你带来怎样的影响?
包括,你所有的知乎私信都会被人看到,这又意味着什么?
但现在,这很可能已经发生……
关于此次事故,我们请教了部分相关行业人士,根据经验他们给出的分析和解读是:
其一,从事故表现来看,此次事故出现的问题是账号串号和数据库的问题。其中,串号问题严重泄露了用户隐私,如果在接下来两天中有匿名回答和私信被公开,似乎知乎难辞其咎。
其二,事故发生后知乎直接切断了服务器,看起来,似乎是数据库没有备份?如果有备份,则可以直接切换到备份服务器,而不至于粗暴切断影响普通用户的正常使用。
其三,出现此类问题,要么是内部误操作,要么是外部攻击。看起来前者的可能性更大,假如是真,背后可能影射出的是知乎内部的管理和操作流程方面的问题,也可能会导致内部相关工作人员受到较严厉的处罚。
当然,知乎是用 python 语言写的,这个属于纯技术问题,产品狗运营猫通常碰到这种情况会非常抓狂,所以特别希望技术牛人能把这个事件解读解读,让我们也能理解一下。
无独有偶,早在 2013 年 2 月份的时候,新浪微博就曾出现过串号的漏洞问题,新浪公司总编辑陈彤的个人微博在 2013 年 2 月 10 日凌晨 00:30 分左右出现异常微博,疑似部分非陈彤发布的内容出现在其微博内容中。
2 月 10 日消息 2 月 10 日凌晨 00:30 分左右,新浪微博平台出现疑似串号漏洞,新浪公司总编辑陈彤的微博出现异常。
据了解,新浪公司总编辑陈彤的个人微博在 2 月 10 日凌晨 00:30 分左右出现异常微博,疑似部分非陈彤发布的内容出现在其微博内容中。
00:35 左右,陈彤的个人微博出现短暂无法访问,疑似帐号被删除。
00:40 左右,陈彤的微博恢复访问,串号安全漏洞仍然存在。
00:50 左右,陈彤的微博持续出现帐号被删,无法访问。
无论如何,接下来知乎一定会面对诸多用户的质疑。我们也在等待,看看知乎会如何回应?