美国公共广播档案馆(AAPB)近期悄然修复了一个长期存在的安全漏洞。该漏洞自2021年起便被利用,导致受保护及私密媒体内容可被非法下载。网络安全研究员发现并通报了此问题,AAPB在48小时内迅速完成了修复。发言人表示,机构已加强安全防护,并致力于持续向公众免费开放公共媒体历史内容。该漏洞最初在“失落媒体维基”社区流传,后因“数据囤积者”社群的传播而导致更多内容泄露,其利用方式简单,基于“不安全的直接对象引用”(IDOR)漏洞。
🔒 **安全漏洞的发现与修复**:美国公共广播档案馆(AAPB)存在一处安全漏洞,允许用户下载受保护和私密的媒体内容。该漏洞至少自2021年起就被利用,直到近期才被一名匿名网络安全研究员发现并通报。AAPB在收到通报后迅速采取行动,于48小时内成功修复了该漏洞,并表示已加强安全防护措施。
🌐 **漏洞的传播与利用方式**:此漏洞最初在“失落媒体维基”(Lost Media Wiki)的 Discord 频道中流传,随后在专注于内容保存的“数据囤积者”(data hoarders)社群中被广泛传播。研究员提供的“概念验证”显示,利用该漏洞的操作十分简单,主要通过一个 Tampermonkey 脚本,利用“不安全的直接对象引用”(IDOR)漏洞,通过篡改媒体 ID 参数来绕过 AAPB 的访问控制机制,直接请求和下载媒体文件。
🏛️ **AAPB 的使命与数据安全**:AAPB 由 WGBH 教育基金会与国会图书馆联合运营,其核心使命是收集、数字化并保存美国公共广播的具有历史意义的内容。机构发言人强调,AAPB 致力于保护和保存档案资料,并期待继续向公众免费开放公共媒体历史内容。此次事件也与其他公共广播相关的信息安全问题(如 PBS 员工信息泄露)一同,凸显了档案和粉丝社群在获取敏感数据方面的潜在风险,即使并非出于恶意目的。
HackerNews 编译,转载请注明出处:
美国公共广播档案馆(American Archive of Public Broadcasting,简称 AAPB)官网存在一处漏洞,多年来导致受保护及私密媒体内容可被下载;本月,该漏洞已被悄悄修复。
网络安全研究员(要求匿名)向 BleepingComputer 网站透露了这一漏洞,称至少自 2021 年起,该漏洞就被人利用 —— 即便此前研究员已向 AAPB 通报过该问题。
在就漏洞联系 AAPB 后,该机构发言人确认了问题存在;研究员随后验证,漏洞在 48 小时内便完成修复。
AAPB 传播经理艾米丽・鲍克(Emily Balk)向 BleepingComputer 表示:“我们致力于保护和保存 AAPB 的档案资料,目前已加强了档案馆的安全防护措施。我们期待继续向公众免费开放公共媒体历史内容,让所有人都能便捷获取。”
美国公共广播档案馆由 WGBH 教育基金会(WGBH Educational Foundation,简称 GBH)与美国国会图书馆联合运营,是一家公共非营利性档案馆。其核心使命是收集、数字化并保存美国公共广播电台及电视台制作的具有历史意义的内容。
BleepingComputer 了解到,AAPB 这一漏洞最初是在 “失落媒体维基”(Lost Media Wiki)的 Discord 频道中流传开来的 —— 当时该频道正讨论《芝麻街》(Sesame Street)“西方邪恶女巫”(Wicked Witch of the West)剧集片段的泄露事件。
“失落媒体维基” 已下架了该剧集片段,称其 “很可能是通过非法数据泄露获取”,并敦促频道成员不要在 Discord 上重新分享。
最初,利用该漏洞的方法处于保密状态;但到 2024 年年中,其开始在 Discord 的内容保存社群中传播,导致更多受保护内容在专注于内容保存的 Discord 服务器上泄露。
这类社群被称为 “数据囤积者”(data hoarders),他们致力于存档软件、网站、操作系统及各类媒体内容(包括电视节目、音乐、电影等)。然而,他们的运作往往处于 “灰色地带”—— 所保存和分享的内容涉及版权问题,模糊了与数字盗版之间的界限。
即便 AAPB 采取了下架措施,该漏洞的利用方法仍在多个 Discord 服务器及即时通讯应用中传播。研究员向 BleepingComputer 提供的 “概念验证”(proof-of-concept)显示,滥用这一漏洞的操作极为简单。
研究员分享的漏洞利用工具是一个简单的 Tampermonkey 脚本(浏览器插件脚本),其利用的是 “不安全的直接对象引用”(Insecure Direct Object Reference,简称 IDOR)漏洞。通过该脚本,用户可通过媒体 ID 直接请求媒体文件,从而绕过 AAPB 的访问控制机制。
该漏洞允许用户篡改媒体访问请求中的 “媒体 ID 参数”:即便某些内容处于受保护或私密状态,只要用户通过 ID 发起访问请求,就能获取相应资源。
尽管 AAPB 官网的主要媒体页面(路径为/media/{ID})设有部分访问控制,但攻击者可通过篡改后台的 “fetch” 或 “XMLHttpRequest”(两种网页数据请求方式)绕过限制。
按照正常逻辑,AAPB 的服务器本应通过 “403 禁止访问”(403 Forbidden)错误拒绝这类非法请求;但实际情况是,只要请求中包含有效的媒体 ID,服务器就会直接返回对应内容。
目前该漏洞虽已修复,但尚不清楚 “数据囤积者” 社群已获取并分享了多少内容。
此次美国公共广播档案馆的内容泄露事件,并非今年首例与公共广播相关的信息安全问题。此前,美国公共广播公司(PBS)员工的联系信息也曾遭泄露,并在 “PBS Kids”(PBS 儿童频道)粉丝的 Discord 服务器中传播。
这两起事件均表明,即便不带有恶意目的,档案社群及粉丝社群仍有可能获取敏感或私密数据。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
