南京市鼓楼区建宁路61号3幢1403-1406室 undamaged@icloud.com

产品展示

X替代品Spoutible的API泄露了2FA种子和密码重置令牌 媒体

2025-04-08

Spoutible API 漏洞导致用户数据泄露

关键要点

微博平台 Spoutible 修复了一个 API 漏洞,涉及用户数据泄露,包括哈希密码、密码重置令牌及可能绕过双重身份验证的信息。漏洞于 2 月 4 日被 Troy Hunt 报告并快速修复。Spoutible 创始人兼 CEO Christopher Bouzy 宣布采取了额外的安全措施,并建议用户更改密码和重置双重身份验证2FA。

微型博客平台 Spoutible 修复了一个 API 漏洞,导致用户数据外泄,其中包括哈希密码、密码重置令牌,以及可以绕过双重身份验证的信息。Troy Hunt,微软地区总监及数据泄露信息网站“Have I Been Pwned”的创始人,于 2 月 4 日首次报告了该漏洞,数小时后平台即进行了修复。Hunt 在其博客上周一写道。

Hunt 透露,这一漏洞是由一名用户提及的,该用户向他发送了一份包含 207000 条从 Spoutible API 抓取的记录的文件。

Spoutible 的创始人兼 CEO Christopher Bouzy 曾将该平台宣传为 X前称 Twitter的替代品,并于周二发布了一份声明,告知用户有关数据泄露的信息以及如何保护自己的账户。

X替代品Spoutible的API泄露了2FA种子和密码重置令牌 媒体

Bouzy 写道:“我们对此事非常重视,已经实施了额外的安全措施以防止未来事件的发生,并将通知相关当局,包括 FBI。”

Spoutible 用户被建议更改密码、重置双重身份验证,并继续监控账户是否有可疑活动。

Spoutible API 漏洞可能导致账户接管

Hunt 在他的博客中详细说明了 Spoutible 的漏洞,对可通过 API 公开获取的信息感到震惊。除了电子邮件地址、IP 地址和绑定手机号的用户电话号码外,API 还泄露了 bcrypt 哈希密码、2FA 种子、bcrypt 哈希的 2FA 备用代码和密码重置令牌。

虽然这些密码和备用代码并未以未加密格式泄露,Hunt 指出,bcrypt 哈希相对容易被破解。他通过在网络平台 X 上挑战他的追随者试图解密一个六位数的 2FA 备用代码哈希,结果他的追随者在不到三分钟内成功破解。

vps加速器外网

Hunt 还注意到,Spoutible 对密码强度的要求很少,仅要求密码长度在 6 到 20 个字符之间。此外,Hunt 也示范了 API 泄露的 2FA 种子或称“2fasecret”字段项如何被用来生成一次性密码,作为第二身份验证因素。有了这些信息和 2FA 备用代码,即便是启用 2FA 的账户也容易被接管。

最后,通过 API 泄露的密码重置令牌使得任何人都可以轻松接管账户,只需更改账户密码。而用户不会收到关于密码更改的邮件通知,也没有办法查看自己账户上的所有登录会话,Hunt 写道。

除了向 Spoutible 报告该问题,Hunt 还将所有 207000 个被抓取的电子邮件地址添加到“Have I Been Pwned”的可搜索泄露数据库中。

Spoutible CEO 辩护平台,指责“恶意”数据抓取

Hunt 赞扬 Spoutible 在修复漏洞方面的“优秀”响应速度,并称 Bouzy 就数据泄露与其沟通的做法“值得称赞”。对于安全更新的众多回复同样称赞了公司和 CEO 的迅速反应,但也有一些人批评 Bouzy 的声明仅提到“电子邮件地址和一些手机号码”被泄露。

在自己的 Spoutible 和 X 帐号上,Bouzy 为平台辩护,并指控向 Hunt 发送抓取记录的人是在对网站进行“攻击”。

Bouzy 在 X 上写道:“恶意