北京
6.18當天,小紅書APP被曝存在嚴重安全漏洞。多位網友在技術社區披露,用戶只需在App“設置”頁標題處連續點擊6-10次,輸入弱口令“xhsdev”即可進入隱藏的開發者模式。該模式不僅提供日志、抓包和網絡代理開關,還直接暴露了數據庫表結構、推薦算法參數、內部微服務域名及端口等高敏感信息,有部分程序員將其描述為“P0級事故”,稱“從業9年還是第一次見。”
這次事故有多嚴重?這就好比一輛汽車,普通用戶只能開它。但“開發者模式”就像是把汽車的引擎蓋打開,還把維修工具箱和行車電腦的密碼都給你了,等于把小紅書底褲給扒了,平臺“自行開盒。這本來是給小紅書自己內部的技術人員(程序員、測試員)在App正式上線前調試、找問題用的工具。現在直接暴露在普通用戶面前,懂技術的人(比如黑灰產、黑客和大數據從業者)可以輕易地利用這個模式,像拆解玩具一樣研究小紅書的內部運作,找到安全上的漏洞。
圖:注意看上圖中“人群信息”標記,用戶數據打點全暴露了。
小紅書內部架構和開發開發模式功能列表完整展示出來(圖自網友)
事故發生后,有博主第一時間給平臺反映漏洞。但直到昨晚11點,圈哥發現有用戶親測反饋,仍能輕松進入開發者模式。
盡管小紅書官方未立即發布事故原因,但技術分析認為這次極有可能是低級人為失誤造成的。開發環境的代碼或配置泄露到了生產環境,比如寫代碼時把環境配置搞錯了!線上生產環境也開啟了開發者工具。就像廚師在后廚做菜,不小心把做菜的工具端到客人面前,概率極低。這次不會再讓實習生背鍋吧?
此次漏洞雖然未對c端用戶造成直接影響,但算法權重與風控邏輯泄露,刷量及廣告作弊成本驟降;用戶隱私面臨間接威脅,抓包界面可能截獲明文請求;合規層面違反《個人信息保護法》中“最小必要”原則,存在監管合規漏洞。
不搞618大促的小紅書,卻在618這天如此吸睛,實屬有點無厘頭了。(完)
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
