Twitter替代品:Spoutible大肆泄密

中国Twitter网最新消息:安全顾问兼 Have I Been Pwned 创作者 Troy Hunt 详细介绍了 Spoutible(埃隆·马斯克收购 Twitter 后出现的社交平台)API 中的一个漏洞,该漏洞可能允许黑客完全控制用户帐户。

在有人向 Hunt 发出有关该漏洞的警报后,他发现黑客可以利用Spoutible 的 API 来获取用户的姓名、用户名和个人简介,以及他们的电子邮件、IP 地址和电话号码。 Spoutible 此后解决了该漏洞,在其网站上发帖称,它没有泄露解密的密码或直接消息,同时确认“抓取的信息包括电子邮件地址和一些手机号码”。它邀请任何仍想使用该服务的人在东部时间下午 1 点参加“特别 Pod 会议”。 Spoutible 和 Hunt 都建议用户更改密码并重置 2FA。

正如 Hunt 所提到的,这种情况并不完全罕见,正如Facebook和Trello等平台上类似的数据抓取事件所见。

然而,亨特发现了更令人震惊的事情:不良行为者还可以利用该漏洞获取用户密码的哈希版本。虽然它们受到 bcrypt 的保护,但短密码或弱密码可能相当容易破译,并且该服务阻止人们设置更难破解的较长密码。

最重要的是,Hunt 发现 API 返回了用于登录某人帐户的 2FA 代码,以及生成的重置令牌以帮助用户更改忘记的密码。这可以让黑客轻松访问并劫持某人的帐户,而无需提醒他们注意违规行为。

据 Hunt 称,该漏洞暴露了约 207,000 名用户的电子邮件。这几乎是整个平台上的所有人,《连线》 2023 年 6 月的一份报告显示 Spoutible 拥有 24 万用户。

您可以在“我被黑了吗”上查看您的信息是否被泄露。