这个漏洞于2022年1月由zhirinovskiy通过漏洞赏金平台HackerOne提交，推特获悉后立即进行调查并修复了该漏洞，并且奖励了zhirinovskiy5040美元的赏金。

    由于该漏洞的存在，任何人通过向Twitter系统提交电子邮件地址或电话号码，就能够验证其是否与Twitter帐户关联，并检索相关联的帐户ID。然后，攻击者会进一步使用此ID抓取该帐户的公共信息。

    漏洞提交者zhirinovskiy在提交该漏洞时评价道：“这是一个严重的威胁，因为人们不仅可以找到那些本已经设置了电子邮件/电话号码无法发现的用户，而且任何具备脚本/编码基础知识的攻击者都可以枚举Twitter用户群的很大一部分，这些用户群之前是无法枚举的（创建一个包含电话/电子邮件关联用户名的数据库）。此类数据库可以出售给恶意方用于广告目的，或用于在各种恶意活动中标记名人。简而言之，这可能导致许多用户失去隐私。”

    当时，推特表示没有证据表明有人利用了这个漏洞。2022年7月，推特在查看了黑客计划出售的数据的样本后，确认有不法分子在问题得到解决之前就已经利用了该漏洞。

来源：看雪学苑

https://mp.weixin.qq.com/s/ydK9MUaYq0hImvSxHkkDiA

往期文章：

• HVV攻防复盘指南
  
• HVV结束别提有多开心！
  
• HVV真的结束了吗？
  
• GitHub出现超35000个恶意攻击文件
  

• HW攻防并肩前行！