轉載自三節課微信公眾號(ID: sanjieke),極客公園已獲轉載授權。
今天下午,知乎粗大事了.......
今天下午約 2 點 30 分左右,三節課的布棉老師用自己的 iPhone 登錄知乎,然後他就看到了如下讓他震驚的界面——
如果你沒能理解上圖意味著什麼,讓我來告訴你——
1 這個帳號不是布棉老師自己的;
2 布棉老師在這裡可以完全看到這個用戶的私信;
3 甚至是該用戶的匿名回答,布棉老師也完整能看到。
所以,這背後可能意味著大量知乎用戶隱私信息的洩露!!!!
2 點 35,經我們測試確認,只有 IOS 端存在此問題,安卓則一切正常。
我們使用另一臺 iOS 手機登錄知乎,發現此時的知乎 iOS 端連加載都出現了問題,將 WiFi 換成了 4G 之後也沒有什麼動靜。
與此同時,登的也不是自己的帳號,也不認識....... 也會收到並不是發給自己的私信。
而每次退出重新登錄後,又會換成和剛剛那個陌生人又不一樣的另外一個陌生人。這個時候的知乎,似乎已經完全亂套了。
約 2 點 45 前後,知乎官方似乎採取了一些措施,串號現象不再出現,但在個人頁中出現了一行代碼報錯,用戶無法進行其它操作。
約 2 點 50 分左右,知乎官方疑似直接切斷了伺服器,整個知乎 app 在 iOS 端已無法訪問。
應該說,此次事故是一次極度嚴重的事故。
想像一下吧,你某天在知乎匿名發布的涉及到老東家諸多內幕信息的回答明天突然被人爆出,會對你帶來怎樣的影響?
包括,你所有的知乎私信都會被人看到,這又意味著什麼?
但現在,這很可能已經發生……
關於此次事故,我們請教了部分相關行業人士,根據經驗他們給出的分析和解讀是:
其一,從事故表現來看,此次事故出現的問題是帳號串號和資料庫的問題。其中,串號問題嚴重洩露了用戶隱私,如果在接下來兩天中有匿名回答和私信被公開,似乎知乎難辭其咎。
其二,事故發生後知乎直接切斷了伺服器,看起來,似乎是資料庫沒有備份?如果有備份,則可以直接切換到備份伺服器,而不至於粗暴切斷影響普通用戶的正常使用。
其三,出現此類問題,要麼是內部誤操作,要麼是外部攻擊。看起來前者的可能性更大,假如是真,背後可能影射出的是知乎內部的管理和操作流程方面的問題,也可能會導致內部相關工作人員受到較嚴厲的處罰。
當然,知乎是用 python 語言寫的,這個屬於純技術問題,產品狗運營貓通常碰到這種情況會非常抓狂,所以特別希望技術牛人能把這個事件解讀解讀,讓我們也能理解一下。
無獨有偶,早在 2013 年 2 月份的時候,新浪微博就曾出現過串號的漏洞問題,新浪公司總編輯陳彤的個人微博在 2013 年 2 月 10 日凌晨 0 點 30 分左右出現異常微博,疑似部分非陳彤發布的內容出現在其微博內容中。
2 月 10 日消息 2 月 10 日凌晨 0 點 30 分左右,新浪微博平臺出現疑似串號漏洞,新浪公司總編輯陳彤的微博出現異常。
據了解,新浪公司總編輯陳彤的個人微博在 2 月 10 日凌晨 0 點 30 分左右出現異常微博,疑似部分非陳彤發布的內容出現在其微博內容中。
0 點 35 分左右,陳彤的個人微博出現短暫無法訪問,疑似帳號被刪除。
0 點 40 分左右,陳彤的微博恢復訪問,串號安全漏洞仍然存在。
0 點 50 分左右,陳彤的微博持續出現帳號被刪,無法訪問。
無論如何,接下來知乎一定會面對諸多用戶的質疑。我們也在等待,看看知乎會如何回應?