93GB数据,830万条举报线索,从社保号到家庭住址,一锅端。
这不是电影剧本。一家叫P3 Global Intel的公司,专门给警方做"匿名举报"系统,口号喊得震天响——"您的匿名性始终受到保护"。结果黑客组织"Internet Yiff Machine"(名字来源我劝你别在工作场合查)花了点时间,把人家数据库整个搬空了。
更讽刺的是,P3官网至今还挂着那句承诺。数据却已经躺在Distributed Denial of Secrets(DDoS)的档案库里,等着向记者和研究员开放。
一个表单能漏多少?比你想象的多
Straight Arrow News拿到的样本显示,泄露内容远不止"有人举报了某条街有毒品交易"这种模糊信息。
被举报人的姓名、邮箱、出生日期、电话号码、家庭住址、车牌号、社保号、犯罪记录——全在包里。还有警方调查员的回复记录。换句话说,举报者和被举报者的双面信息,一个都没落下。
P3的系统界面长什么样?作者亲自试了下:找到费城当地"融合中心"的举报页面,点"继续",直接跳转到"大堪萨斯城犯罪举报热线"。
这种基础的路由错误,放在任何C端产品里都会被用户骂死。但P3卖的是"安全",收的是政府订单。
黑客是怎么做到的?没有技术,全是感情
Internet Yiff Machine在发布说明里写得相当直白:"没开玩笑,我发了800多万个请求把他们的数据全拉走了,全程没遇到任何限制。"
速率限制(rate limiting)——这是Web开发最基础的防爬措施,相当于给API装个门铃,防止有人疯狂敲门。P3没有。
黑客自称还发现了" numerous security features"的缺失。具体多少处没细说,但能让一个人用脚本扒光830万条记录,架构层面的漏洞显然不是一两个。
这里有个细节值得玩味:组织名字叫"Internet Yiff Machine",明显是 furry 圈子的梗。 furry 社群和执法机构的关系向来微妙——前者常被后者误读、监控甚至骚扰。选这个目标,动机里大概带点私人恩怨。
"匿名"是个技术问题,不是文案问题
P3的商业模式很清晰:给Crime Stoppers项目、执法机构、政府部门提供"标准化"的举报管理工具。官网上列了一堆合作方,强调自己"迅速成为全球新标准"。
但"匿名"在工程实现上极其苛刻。真正的匿名系统需要:前端匿名提交、服务端零日志、数据加密存储、通信链路隔离——每一环都不能出错。P3显然没做到。
更麻烦的是业务本身的矛盾点。举报系统需要"可回复",警方得追问细节,这就天然要求某种身份标识。P3的解决方案大概是伪匿名:系统内部存关联ID,对外宣称保护隐私。
黑客一进场,这层窗户纸直接捅破。
谁该紧张?不只是P3的客户
DDoS选择不公开释放数据,只向"established journalists and researchers"开放。这是负责任的做法,但挡不住二次泄露的风险。93GB的压缩包,一旦流出,被举报者的报复性暴力、举报者的身份曝光,都是真实威胁。
已经有人在社交媒体上说:"我三年前举报过邻居家暴,现在慌得睡不着。"
对科技从业者来说,这事是个经典案例:B2G(企业对政府)软件的安全标准,往往比C端产品更宽松。政府采购看的是合规 checklist,不是渗透测试报告。P3能拿到"fusion center"这种敏感项目,说明销售能力大于工程能力。
作者测试时遇到的跳转bug——费城点进去跳到堪萨斯——放在互联网公司,QA环节就卡死了。但在政府软件供应链里,这种错误能存活上线。
最后留个开放问题:如果"匿名"系统的技术实现无法被公众审计,我们凭什么相信它的承诺?下次看到"您的隐私受到保护"时,你会多问一句"怎么保护的",还是直接关掉页面?
热门跟贴