Как украинцы угробили соцсеть Parler

Сообщают, что американскую соцсеть Parler разрабатывали украинские айтишники, фанаты правого сектора и так далее. Они там на чём-то сэкономили — и теперь личные данные американских правых оказались в открытом доступе.

Подробности поведал Ваня Сияк в своём Facebook:

«В репутации украинских айтишников образовалась дыра размером с Житомир. Оказалось, что команда гениев построила Parler на уязвимом Вордпрессе, и применяла для двухфакторной авторизации пользователей free trial софт Okta. После штурма Капитолия владельцы софта отключили Parler доступ к нему, а сеть не стала по этому поводу ничего предпринимать.

Узнав об отключении двухфакторной авторизации из пресс-релиза производителей Okta (!), неизвестные активисты провели ночью атаку, в ходе которой похитили у Parler 70 терабайт данных — все посты, включая приватные и удаленные; профайлы; геолокации; сканы водительских удостоверений премиум-юзеров. Сейчас этот массив данных свободно распространяется по десяткам ссылок.

Это конец. Американская социальная сеть для правых и консерваторов убита украинскими криворукими разработчиками. Зато инвесторы сэкономили на зарплатах.»

Криворукие хохлы и украинская халтура — тут всё всем понятно, но для не слишком понимающих техническую сторону дела я объясню детали произошедшего.

Okta, Inc. – американская компания по управлению идентификацией и доступом. Okta является ведущей независимой платформой управления идентификацией для предприятий. Это серьезная компания с акциями, котирующимися на бирже NASDAQ. Множество интернет-сервисов и даже корпоративных систем пользуются сервисом аутентификации Okta для единообразного доступа к своим базам данных и продуктам. Естественно, для WordPress тоже имеются плагины аутентификации пользователей на базе сервиса Okta.

Фраза про то, что Parler «построен на вордпрессе» — не совсем правильна. На вордпрессе построен интернет-сайт Parler, через который производится регистрация пользователей и через который приложения Parler на смартфонах пользователей осуществляют аутентификацию. На нем же ведутся профили пользователей, распределяются их права и так далее. Это достаточно распространенное решение, и в нем самом нет ничего плохого.

Плохое началось вот в чем: криворукие хохлы не только собрали систему аутентификации из общедоступных плагинов, но еще и не удосужились проверить, а что же будет с аутентификацией, если сервис Okta прекратит обслуживание. Хуже того — сами администраторы Parler заходили в систему через аутентификацию Okta. И когда Okta отключилась — аутентификация пользователей откатилась на обычную для Вордпресса аутентификацию логин-пароль, при этом пароли были простыми, а количество попыток подбора паролей не было ничем ограничено.

Взламывать вордпресс брутфорсом — кому ума не доставало. Его и взломали — получив базу паролей пользователей, которая, соответственно, дает доступ и к базе сообщений Parler и ко всему остальному.

А теперь смотрите, как это устроено по уму — например, у нас. При том, что ломать наши сайты никому серьезному нахрен не сдалось, а в профилях пользователей у нас нет никакой достоверной информации о пользователях — безопасности уделено определенное внимание.

Начнем с того, что попытки взломать сайт брутфорсом никуда не ведут — после нескольких неправильных паролей дальнейшие попытки логина этого юзера блокируются примерно на 45 минут, а при повторении неудачных попыток — блокируются на сутки. Разумеется, пароли админов имеют такую длину и неудобочитаемость, что ни брутфорсом, ни словарями их подобрать за разумное время невозможно, даже если бы блокировки не было.

И кстати — штатный API логина вордпресса изменен таким образом, чтобы популярные подборщики паролей не могли с ним работать.

И вот только поверх этой системы для удобства юзеров поставлен «социальный логин». Мы не делаем секрета из того, что это uLogin, когда-то разработанный для сайтов на системе Ucoz. При первом заходе пользователя на наш сайт через эту систему uLogin автоматически создает пользователя с логином вида 0292cf6230054aa23c48fbed8306df68 и еще более неудобоваримым паролем. В таком виде в Вордпрессе это и хранится — причем пользователь в общем случае даже не знает этого логина и пароля, uLogin их предъявляет автоматически после проверки авторизации пользователя в выбранной им соцсети.

Если uLogin падает — в Вордпрессе остаются эти пары неудобоваримых логинов и длинных паролей, на которые продолжают действовать ограничения и блокировки подбора.

Излишне говорить, что админы на сайты через uLogin не ходят. Патамушта все сторонние навески по определению не считаются надежными и стойкими. Но для пользователей — это вполне ОК решение, оно не приносит в систему никакой новой информации о вас, кроме той, что вы уже сообщили соответствующей соцсети, через аутентификацию в которой решили заходить.

Теперь вы понимаете, в каком месте облажались хохлы? Они не стали поднимать стойкость базовой аутентификации в Вордпрессе, а просто натянули сверху плагин для Okta. Да еще и надеялись на двухфакторную аутентификацию — чтобы использовать простые логины и пароли, удобные пользователям. А поскольку хохлы-админы не только тупые, но еще и ленивые — они и сами использовали логины вроде 1488 и пароли типа bandera. После чего их взлом был тривиален.