查看原文
其他

马斯克刚砍掉网络安全部,Twitter就出事儿了!

IT服务圈儿 2023-02-06

The following article is from 编程技术宇宙 Author 轩辕之风

来源丨转载自微信公众号:编程技术宇宙(ID:xuanyuancoding)

作者丨轩辕之风

大家好,我是轩辕。

自从马斯克收购了Twitter之后,就像是个网红一样,频频出现在科技版和程序员的头条。

一会儿是裁员了,一会儿又请被裁的人回来,一会儿又要检查代码···

有消息看到,马斯克要把Twitter网络安全部门整个给裁掉,一开始还有点诧异,不过昨天看到了一个消息,有点明白马斯克为啥拿网络安全部开刀了。

这个消息就是:有人通过Twitter的一个API漏洞,搞到了几百万的用户数据,还被放到了“暗网”免费下载!!!

这些数据包含了用户名、用户ID、位置、粉丝数、好友数量、收藏数量等等信息,最重要的是还有手机号和邮箱!

有了这些数据,不知道又有多少用户要收到钓鱼邮件和诈骗电话了。

先别急,这五百多万还不算什么,发布者宣称,还有一个规模更庞大(数千万)级别的数据集泄露了。

有人专门下载了这份数据进行随机校验,没想到数据都是真实有效的!

接下来来看一下,这个泄露数据的API漏洞是什么个情况?

在这个链接下,有关于这个API的简单介绍:

https://hackerone.com/reports/1439026

这个API被Twitter的Android APP中被使用,可以用来做重复账号的检查(一般APP注册的时候,都会检查你的用户名有没有重复的),而这个接口的逻辑中,存在泄露已有用户数据的问题。


只要你输入一个邮箱或者手机号,如果这个账号存在就能拿到它的信息,如果你拿着一组手机号遍历,就能拿到一堆的用户信息。


  • 第一步:向一个API发送一个请求

在服务器的响应中,有一个flow_token字段:

拿着这个flow_token字段,再次请求那个接口,并且带上你要查询的用户的邮箱或者手机号,就能拿到这个用户的ID了:

拿到ID后进一步就能拿到用户的完整信息了。

上面这几张图来自近一年前的文章,发布在网络安全平台Hackerone,作者名叫zhirinovsky,是他报告了这一漏洞。因为这个漏洞,还在Twitter的漏洞奖励计划中获得5040美元的奖励,三万多RMB,真香!

虽然随后Twitter很快就修复了该漏洞,但当时已经距离该漏洞引入到代码中有6个月时间了,这6个月有没有被别人利用来偷数据就不好说了。

不知道马斯克看到这个会不会直接掏钱买下来呢?

数据泄露频频发生,我们每个人都在“裸奔”!

手握海量用户信息的互联网企业责任重大,这一次是推特,下一次又是谁,我觉得这些个大厂们在追求业务效益的同时,也该思考一下如何对用户信息做好保护,毕竟能力越大,责任越大。

1、23岁的老牌网站因无法访问冲上热搜,又一时代眼泪?

2、建议你没事别找程序员修电脑,后果很严重...

3、给我发代码!马斯克强制要求推特员工写周报,还招来黑客大佬改程序

4、50万用户无人付费,Kite停止开发

5、Win10用户要小心了,注意这个操作!

点分享

点点赞

点在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存