查看原文
其他

马斯克刚砍掉网络安全部,Twitter就出事儿了!

脚本之家 2022-12-04

The following article is from 编程技术宇宙 Author 轩辕之风

 关注脚本之家”,与百万开发者在一起

作者 | 轩辕之风
来源 | 编程技术宇宙(ID:xuanyuancoding)

自从马斯克收购了Twitter之后,就像是个网红一样,频频出现在科技版和程序员的头条。

一会儿是裁员了,一会儿又请被裁的人回来,一会儿又要检查代码···

有消息看到,马斯克要把Twitter网络安全部门整个给裁掉,一开始还有点诧异,不过昨天看到了一个消息,有点明白马斯克为啥拿网络安全部开刀了。

这个消息就是:有人通过Twitter的一个API漏洞,搞到了几百万的用户数据,还被放到了“暗网”免费下载!!!

这些数据包含了用户名、用户ID、位置、粉丝数、好友数量、收藏数量等等信息,最重要的是还有手机号和邮箱!

有了这些数据,不知道又有多少用户要收到钓鱼邮件和诈骗电话了。

先别急,这五百多万还不算什么,发布者宣称,还有一个规模更庞大(数千万)级别的数据集泄露了。

有人专门下载了这份数据进行随机校验,没想到数据都是真实有效的!

接下来来看一下,这个泄露数据的API漏洞是什么个情况?

在这个链接下,有关于这个API的简单介绍:

https://hackerone.com/reports/1439026

这个API被Twitter的Android APP中被使用,可以用来做重复账号的检查(一般APP注册的时候,都会检查你的用户名有没有重复的),而这个接口的逻辑中,存在泄露已有用户数据的问题。


只要你输入一个邮箱或者手机号,如果这个账号存在就能拿到它的信息,如果你拿着一组手机号遍历,就能拿到一堆的用户信息。


  • 第一步:向一个API发送一个请求

在服务器的响应中,有一个flow_token字段:

拿着这个flow_token字段,再次请求那个接口,并且带上你要查询的用户的邮箱或者手机号,就能拿到这个用户的ID了:

拿到ID后进一步就能拿到用户的完整信息了。

上面这几张图来自近一年前的文章,发布在网络安全平台Hackerone,作者名叫zhirinovsky,是他报告了这一漏洞。因为这个漏洞,还在Twitter的漏洞奖励计划中获得5040美元的奖励,三万多RMB,真香!

虽然随后Twitter很快就修复了该漏洞,但当时已经距离该漏洞引入到代码中有6个月时间了,这6个月有没有被别人利用来偷数据就不好说了。

不知道马斯克看到这个会不会直接掏钱买下来呢?

数据泄露频频发生,我们每个人都在“裸奔”!

手握海量用户信息的互联网企业责任重大,这一次是推特,下一次又是谁,我觉得这些个大厂们在追求业务效益的同时,也该思考一下如何对用户信息做好保护,毕竟能力越大,责任越大。

<END>

2023年“一历解药”

每天开出不一样的盲盒惊喜!

👇👇

▼限时直降15元,点击即可购买▼

【☝🏼点击查看更多详情】

  推荐阅读:

专属定制,程序员秒懂的极客卫衣!

马斯克亲自组织Code Review,并晒出Twitter架构图!网友们低估其代码能力了?

马斯克称Twitter将专注“硬核软件工程”:要么加班,要么走人

别焦虑了,这才是中国各行业平均工资的真相

从前,有两个卖水果的公司

Office 2019/2021专业增强版,正版终身授权!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存