导语:2022年1月,一位名为zhirinovsky的安全研究员在HackerOne漏洞赏金平台提交了一份震惊业界的报告:Twitter存在一个高危漏洞,允许任何人——无需任何认证——仅凭一个电话号码或电子邮件,即可查询到对应的Twitter账号ID,即便用户已在隐私设置中明确禁止了这项功能。540万美元的漏洞赏金背后,是540万普通用户数据被大规模爬取的残酷现实。
一、漏洞概述
1.1 漏洞基本信息
| 项目 | 详情 |
|---|---|
| 漏洞平台 | HackerOne |
| 报告编号 | #1439026 |
| 漏洞名称 | Discoverability by phone number/email restriction bypass(通过电话/邮箱发现账号的限制绕过) |
| 发现者 | zhirinovsky |
| 赏金金额 | 5,040 美元 |
| 报告时间 | 2022年1月 |
| 漏洞状态 | 已修复 |
1.2 漏洞原理
这个漏洞的核心问题出在Twitter安卓客户端的账号查重授权流程中。当用户尝试在Twitter安卓应用中添加新账号时,系统会通过一个特定的授权流程来检查该电话号码或电子邮件是否已被用于注册其他账号。
问题在于,这个查重流程存在严重的权限绕过缺陷。攻击者可以模拟这一流程,向Twitter服务器提交任意电话号码或电子邮件地址,系统会返回该信息所绑定的Twitter账号ID——即使用户在隐私设置中明确关闭了”通过电话号码/邮箱找到我”的功能。
1.3 危害评估
这个漏洞的危险性远超表面:
- 隐私形同虚设:数百万选择隐藏自己电话号码/邮箱的用户,实际上这些信息完全可被枚举
- 账号反向查询:不仅可以通过电话/邮箱找到用户,还能通过账号ID反推用户的隐私信息
- 自动化大规模爬取:任何具备基础编程能力的人都可以批量枚举Twitter用户数据库
- 数据可变现:这些数据在暗网市场上可以以数万美元的价格出售,被用于广告精准投放或恶意攻击
二、漏洞时间线
2.1 关键事件节点
| 时间 | 事件 |
|---|---|
| 2021年6月 | Twitter代码更新,引入该漏洞 |
| 2021年12月 | 攻击者利用漏洞大规模爬取Twitter用户数据 |
| 2022年1月 | 安全研究员zhirinovsky向HackerOne提交漏洞报告 |
| 2022年1月 | Twitter确认漏洞并着手修复 |
| 2022年8月5日 | Twitter官方发布安全声明 |
| 2022年11月24日 | 超过540万Twitter用户数据在暗网论坛Breached免费公开 |
2.2 官方声明
Twitter在2022年8月5日的官方声明中确认:
“此问题影响了部分匿名账户。我们已将此问题追踪到2021年6月的一次代码更新。得知此问题后,我们立即展开调查并进行了修复。当时没有证据表明有人利用了该漏洞。”
然而,这个声明很快被现实打脸——2022年11月,540万用户数据被公开出售。
三、540万数据泄露事件
3.1 数据泄露规模
2022年11月24日,一个名为Pompompurin的黑客在暗网论坛Breached上免费公开了超过540万条Twitter用户记录,数据包括:
公开信息:
- Twitter用户ID
- 用户名(Username)
- 账号显示名(Screen Name)
- 位置信息
- 验证状态
- 粉丝数量
- 头像和简介
敏感信息:
- 电话号码
- 电子邮件地址
3.2 安全研究员的警告
安全研究员查德·洛德(Chad Loder)在数据泄露后发出警告:
“公开的这540万条记录只是冰山一角。据我所知,还有数千万用户数据正在私下交易,这些数据从未被公开。”
这一警告意味着,实际受害规模可能远超540万。
3.3 数据售价
泄露的Twitter用户数据在暗网市场的售价约为30,000美元。对于恶意买家来说,这些数据可以用于:
- 精准钓鱼攻击
- 社工诈骗
- 广告定向投放
- 账号定向入侵
四、国内用户影响分析
4.1 国内用户处境
对于使用Twitter或与Twitter有业务关联的国内用户,该漏洞的影响同样不可忽视:
- 国内出海用户:在Twitter上运营品牌或产品的国内企业,其用户数据可能已被爬取
- 匿名账号风险:国内不少用户使用Twitter的匿名账号进行信息发布,该漏洞直接威胁匿名身份
- 隐私泄露:即便不是Twitter活跃用户,如果曾在其他平台使用与Twitter相同的邮箱或电话注册,数据同样暴露
4.2 防护建议
面对此类数据泄露风险,建议采取以下措施:
- 检查HaveIBeenPwned:访问 haveibeenpwned.com,查询自己的邮箱是否出现在泄露数据中
- 修改Twitter密码:如果Twitter账号使用了与其他平台相同的密码,立即修改
- 开启双因素认证:为Twitter账号启用应用双因素认证(而非短信验证码)
- 警惕钓鱼邮件:不要点击任何声称来自Twitter的可疑链接,尤其是那些要求输入登录凭证的邮件
- 使用假名注册:对于匿名账号,避免使用真实电话号码或常用邮箱注册
五、漏洞赏金的意义
5.1 为何只有5040美元?
这个漏洞最终只获得了5,040美元的赏金,相比其他顶级漏洞赏金项目(如Account Takeover in Periscope TV的7,560美元),并不算高。这反映了漏洞赏金评估的复杂性:
- 影响范围:虽然是高危漏洞,但最终导致的数据泄露规模在报告时并未发生
- 利用难度:需要攻击者拥有一定的技术能力才能自动化大规模利用
- Twitter的商业考量:作为社交平台,账号枚举问题在商业层面并非最优先的安全问题
5.2 漏洞赏金的真正价值
然而,zhirinovsky的发现价值远超5,040美元:
- 防止了更大规模的隐私泄露:及时发现和修复阻止了漏洞被进一步利用
- 推动了平台安全改进:该漏洞促使Twitter重新审视其账号查重授权流程的设计
- 为行业提供了范例:该报告成为后续API安全研究的经典案例
六、总结
Twitter的这个漏洞,揭示了一个残酷的现实:我们以为的隐私保护,在设计缺陷面前往往形同虚设。 540万用户数据被大规模爬取,并在暗网流通——而这一切的起点,不过是一个被忽视的授权流程漏洞。
对于安全研究员来说,5,040美元的赏金或许并不算高;但对于那540万普通用户来说,他们的电话号码和邮箱已经被明码标价地出售。这个漏洞提醒我们:在数据为王的时代,隐私保护的最终防线,永远掌握在用户自己手中。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容