马斯克刚砍掉网络安全部,Twitter就出事儿了!

自从马斯克收购了Twitter之后,就像是个网红一样,频频出现在科技版和程序员的头条。

一会儿是裁员了,一会儿又请被裁的人回来,一会儿又要检查代码···

有消息看到,马斯克要把Twitter网络安全部门整个给裁掉,一开始还有点诧异,不过昨天看到了一个消息,有点明白马斯克为啥拿网络安全部开刀了。

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第1张图片 图片

这个消息就是:有人通过Twitter的一个API漏洞,搞到了几百万的用户数据,还被放到了“暗网”免费下载!!!

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第2张图片 图片

这些数据包含了用户名、用户ID、位置、粉丝数、好友数量、收藏数量等等信息,最重要的是还有手机号和邮箱!

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第3张图片 图片

有了这些数据,不知道又有多少用户要收到钓鱼邮件和诈骗电话了。

先别急,这五百多万还不算什么,发布者宣称,还有一个规模更庞大(数千万)级别的数据集泄露了。

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第4张图片 图片

有人专门下载了这份数据进行随机校验,没想到数据都是真实有效的!

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第5张图片 图片

接下来来看一下,这个泄露数据的API漏洞是什么个情况?

在这个链接下,有关于这个API的简单介绍:

https://hackerone.com/reports/1439026

这个API被Twitter的Android APP中被使用,可以用来做重复账号的检查(一般APP注册的时候,都会检查你的用户名有没有重复的),而这个接口的逻辑中,存在泄露已有用户数据的问题。

只要你输入一个邮箱或者手机号,如果这个账号存在就能拿到它的信息,如果你拿着一组手机号遍历,就能拿到一堆的用户信息。

  • 第一步:向一个API发送一个请求

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第6张图片 图片

在服务器的响应中,有一个flow_token字段:

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第7张图片 图片

拿着这个flow_token字段,再次请求那个接口,并且带上你要查询的用户的邮箱或者手机号,就能拿到这个用户的ID了:

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第8张图片 图片

拿到ID后进一步就能拿到用户的完整信息了。

上面这几张图来自近一年前的文章,发布在网络安全平台Hackerone,作者名叫zhirinovsky,是他报告了这一漏洞。因为这个漏洞,还在Twitter的漏洞奖励计划中获得5040美元的奖励,三万多RMB,真香!

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第9张图片 图片

虽然随后Twitter很快就修复了该漏洞,但当时已经距离该漏洞引入到代码中有6个月时间了,这6个月有没有被别人利用来偷数据就不好说了。

不知道马斯克看到这个会不会直接掏钱买下来呢?

马斯克刚砍掉网络安全部,Twitter就出事儿了!_第10张图片 图片

数据泄露频频发生,我们每个人都在“裸奔”!

手握海量用户信息的互联网企业责任重大,这一次是推特,下一次又是谁,我觉得这些个大厂们在追求业务效益的同时,也该思考一下如何对用户信息做好保护,毕竟能力越大,责任越大。

 
   
最后说一件重要的事,我最近建了一个【晋级的程序员】社群,旨在帮助新手小白快速上手找到编程的乐趣,里面沉淀了大量编程相关经验教程以及学习资料,目前社群人数已经超过2500人,欢迎大家加入:

你可能感兴趣的:(web安全,twitter,安全)