在前几天的文章中,我们发布了一篇有关Twitter的信息泄露的文章,该漏洞主要会导致访问受限的文章对大众公开,造成隐私泄露。而Hackerone最近放出了该漏洞的产生细节,从中可以看到,虽然该漏洞的危害程度定义为“low”,但是由于其牵涉较广,Twitter最后还是给出了2940美金的漏洞奖励。
总结
在Android版本的Twitter上验证你的电子邮件地址将在你不知情的情况下取消“保护你的Twitter内容”这一设置,你所发布的阅读受限的推特内容可以被所有人看到。
复现步骤
- 在Android设备上登录你的Twitter帐户。
- 确保twitter.com链接会被Twitter应用打开。
- 更改帐户的相关电子邮件。
- 单击你收到的验证邮件中的链接来验证新的电子邮件地址。
影响
导致大量用户的访问受限推特的内容被公开,且用户很难意识到这一点。攻击者不能直接攻击成功,但是可以向受害者发送了一封钓鱼邮件,诱骗受害者更改推特所绑定的电子邮件,触发该漏洞。
结尾
Twitter最后也发表了感谢声明
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场 来源:https://hackerone.com/reports/472013
来源:
https://nosec.org/home/detail/2186.html
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
