(续)Twitter信息泄露漏洞,2940美金

iso60001  617天前

22.png

在前几天的文章中,我们发布了一篇有关Twitter的信息泄露的文章,该漏洞主要会导致访问受限的文章对大众公开,造成隐私泄露。而Hackerone最近放出了该漏洞的产生细节,从中可以看到,虽然该漏洞的危害程度定义为“low”,但是由于其牵涉较广,Twitter最后还是给出了2940美金的漏洞奖励。

总结

在Android版本的Twitter上验证你的电子邮件地址将在你不知情的情况下取消“保护你的Twitter内容”这一设置,你所发布的阅读受限的推特内容可以被所有人看到。

复现步骤

  1. 在Android设备上登录你的Twitter帐户。

  2. 确保twitter.com链接会被Twitter应用打开。

  3. 更改帐户的相关电子邮件。

  4. 单击你收到的验证邮件中的链接来验证新的电子邮件地址。

影响

导致大量用户的访问受限推特的内容被公开,且用户很难意识到这一点。攻击者不能直接攻击成功,但是可以向受害者发送了一封钓鱼邮件,诱骗受害者更改推特所绑定的电子邮件,触发该漏洞。

结尾

Twitter最后也发表了感谢声明

33.png

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://hackerone.com/reports/472013

最新评论

昵称
邮箱
提交评论