（续）Twitter信息泄露漏洞，2940美金

在前几天的文章中，我们发布了一篇有关Twitter的信息泄露的文章，该漏洞主要会导致访问受限的文章对大众公开，造成隐私泄露。而Hackerone最近放出了该漏洞的产生细节，从中可以看到，虽然该漏洞的危害程度定义为“low”，但是由于其牵涉较广，Twitter最后还是给出了2940美金的漏洞奖励。

总结

在Android版本的Twitter上验证你的电子邮件地址将在你不知情的情况下取消“保护你的Twitter内容”这一设置，你所发布的阅读受限的推特内容可以被所有人看到。

复现步骤

1. 在Android设备上登录你的Twitter帐户。

2. 确保twitter.com链接会被Twitter应用打开。

3. 更改帐户的相关电子邮件。

4. 单击你收到的验证邮件中的链接来验证新的电子邮件地址。

影响

导致大量用户的访问受限推特的内容被公开，且用户很难意识到这一点。攻击者不能直接攻击成功，但是可以向受害者发送了一封钓鱼邮件，诱骗受害者更改推特所绑定的电子邮件，触发该漏洞。

结尾

Twitter最后也发表了感谢声明

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://hackerone.com/reports/472013