马斯克刚砍掉网络安全部，Twitter就出事儿了！

大家好，我是轩辕。

自从马斯克收购了Twitter之后，就像是个网红一样，频频出现在科技版和程序员的头条。

一会儿是裁员了，一会儿又请被裁的人回来，一会儿又要检查代码···

有消息看到，马斯克要把Twitter网络安全部门整个给裁掉，一开始还有点诧异，不过昨天看到了一个消息，有点明白马斯克为啥拿网络安全部开刀了。

这个消息就是：有人通过Twitter的一个API漏洞，搞到了几百万的用户数据，还被放到了“暗网”免费下载！！！

这些数据包含了用户名、用户ID、位置、粉丝数、好友数量、收藏数量等等信息，最重要的是还有手机号和邮箱！

有了这些数据，不知道又有多少用户要收到钓鱼邮件和诈骗电话了。

先别急，这五百多万还不算什么，发布者宣称，还有一个规模更庞大（数千万）级别的数据集泄露了。

有人专门下载了这份数据进行随机校验，没想到数据都是真实有效的！

接下来来看一下，这个泄露数据的API漏洞是什么个情况？

在这个链接下，有关于这个API的简单介绍：

https://hackerone.com/reports/1439026

这个API被Twitter的Android APP中被使用，可以用来做重复账号的检查（一般APP注册的时候，都会检查你的用户名有没有重复的），而这个接口的逻辑中，存在泄露已有用户数据的问题。

只要你输入一个邮箱或者手机号，如果这个账号存在就能拿到它的信息，如果你拿着一组手机号遍历，就能拿到一堆的用户信息。

• 第一步：向一个API发送一个请求

在服务器的响应中，有一个flow_token字段：

拿着这个flow_token字段，再次请求那个接口，并且带上你要查询的用户的邮箱或者手机号，就能拿到这个用户的ID了：

拿到ID后进一步就能拿到用户的完整信息了。

上面这几张图来自近一年前的文章，发布在网络安全平台Hackerone，作者名叫zhirinovsky，是他报告了这一漏洞。因为这个漏洞，还在Twitter的漏洞奖励计划中获得5040美元的奖励，三万多RMB，真香！

虽然随后Twitter很快就修复了该漏洞，但当时已经距离该漏洞引入到代码中有6个月时间了，这6个月有没有被别人利用来偷数据就不好说了。

不知道马斯克看到这个会不会直接掏钱买下来呢？

数据泄露频频发生，我们每个人都在“裸奔”！

手握海量用户信息的互联网企业责任重大，这一次是推特，下一次又是谁，我觉得这些个大厂们在追求业务效益的同时，也该思考一下如何对用户信息做好保护，毕竟能力越大，责任越大。