自从马斯克收购了Twitter之后,就像是个网红一样,频频出现在科技版和程序员的头条。
一会儿是裁员了,一会儿又请被裁的人回来,一会儿又要检查代码···
有消息看到,马斯克要把Twitter网络安全部门整个给裁掉,一开始还有点诧异,不过昨天看到了一个消息,有点明白马斯克为啥拿网络安全部开刀了。
这个消息就是:有人通过Twitter的一个API漏洞,搞到了几百万的用户数据,还被放到了“暗网”免费下载!!!
这些数据包含了用户名、用户ID、位置、粉丝数、好友数量、收藏数量等等信息,最重要的是还有手机号和邮箱!
有了这些数据,不知道又有多少用户要收到钓鱼邮件和诈骗电话了。
先别急,这五百多万还不算什么,发布者宣称,还有一个规模更庞大(数千万)级别的数据集泄露了。
有人专门下载了这份数据进行随机校验,没想到数据都是真实有效的!
接下来来看一下,这个泄露数据的API漏洞是什么个情况?
在这个链接下,有关于这个API的简单介绍:
https://hackerone.com/reports/1439026
这个API被Twitter的Android APP中被使用,可以用来做重复账号的检查(一般APP注册的时候,都会检查你的用户名有没有重复的),而这个接口的逻辑中,存在泄露已有用户数据的问题。
只要你输入一个邮箱或者手机号,如果这个账号存在就能拿到它的信息,如果你拿着一组手机号遍历,就能拿到一堆的用户信息。
-
第一步:向一个API发送一个请求
在服务器的响应中,有一个flow_token字段:
拿着这个flow_token字段,再次请求那个接口,并且带上你要查询的用户的邮箱或者手机号,就能拿到这个用户的ID了:
拿到ID后进一步就能拿到用户的完整信息了。
上面这几张图来自近一年前的文章,发布在网络安全平台Hackerone,作者名叫zhirinovsky,是他报告了这一漏洞。因为这个漏洞,还在Twitter的漏洞奖励计划中获得5040美元的奖励,三万多RMB,真香!
虽然随后Twitter很快就修复了该漏洞,但当时已经距离该漏洞引入到代码中有6个月时间了,这6个月有没有被别人利用来偷数据就不好说了。
不知道马斯克看到这个会不会直接掏钱买下来呢?
数据泄露频频发生,我们每个人都在“裸奔”!
手握海量用户信息的互联网企业责任重大,这一次是推特,下一次又是谁,我觉得这些个大厂们在追求业务效益的同时,也该思考一下如何对用户信息做好保护,毕竟能力越大,责任越大。
