一个另类的暴露用户上网痕迹的Twitter漏洞

近期，白帽汇安全研究院发现hackerone网站公布了一个Twitter的信息泄露漏洞。和以往信息泄漏漏洞不同的是，它并不会直接暴露用户的敏感信息，而是在攻击者和正常用户进行交互的情况下泄漏用户的上网痕迹。作者自述的漏洞说明如下：

总结：

作为我的安全团队最新安全研究的一部分，我们在包括Twitter在内的多个知名网站中都发现了这个与隐私相关的漏洞。利用此漏洞，攻击者可以通过受害者访问攻击者控制的网站，来识别出受害者在Twitter上使用的用户名ID。我们将这个漏洞称为LeakyImages，下面我们将详细描述。

描述：

威胁模型：攻击者瞄准某个受害者，了解他在推特上的ID/用户名，并且在受害者访问攻击者控制的网站（如博客或新闻网站）时，识别出受害者。

这种攻击的意义在于攻击者可以从一组潜在的目标中挑出识别一个受害者。此外，还能把受害者在不同的网站上创建的帐户关联在一起。例如，受害者的电子邮件地址可能是john.doe@gmail.com而facebook帐户可能是facebook.com/johndoe1973。

漏洞利用：攻击者利用推特平台与受害者共享图片http://yoursite.com/mycutecatimage.png%e2%80%9d，这是一张只有攻击者和受害者才能访问到的图像，这其中是基于cookie的访问控制机制来保证这一点。

由于图像不受同源策略的限制，当受害者访问受攻击者控制的网站时，攻击者会要求受害者的浏览器请求此图像。通过检查图像是否被成功加载，攻击者可以准确识别当前访客是否是目标。从某种意义上说，攻击者通过使用Twitter的图片来识别受害者身份。

复现步骤：

1. 攻击者向受害者发送一条私信，带有一张图片

2. 右键单击图像+复制图像地址

3. 此URL是一个基于cookie的权限验证的URL，只允许对话中的两个参与者正常访问。例如，https://ton.twitter.com/1.1/ton/data/dm/971042231900622855/9710422220110426113/dsxfppp0.jpg:large只能被CrisStaicu和johndoevici1988用户访问。

##影响：

当有人访问受害者网站，而上述特殊图像能正确加载，就会暴露当前访问者在Twitter上的ID。

如有必要，我们愿意分享更多细节。

最后，Twitter也对漏洞发现者表示了感谢，并给予了1120美金的奖励。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://hackerone.com/reports/329957