Spoutible API 漏洞导致用户数据泄露

关键要点

• 微博平台 Spoutible 修复了一个 API 漏洞，涉及用户数据泄露，包括哈希密码、密码重置令牌及可能绕过双重身份验证的信息。
• 漏洞于 2 月 4 日被 Troy Hunt 报告并快速修复。
• Spoutible 创始人兼 CEO Christopher Bouzy 宣布采取了额外的安全措施，并建议用户更改密码和重置双重身份验证（2FA）。

微型博客平台 Spoutible 修复了一个 API 漏洞，导致用户数据外泄，其中包括哈希密码、密码重置令牌，以及可以绕过双重身份验证的信息。TroyHunt，微软地区总监及数据泄露信息网站“Have I Been Pwned?”的创始人，于 2 月 4日首次报告了该漏洞，数小时后平台即进行了修复。。

Hunt 透露，这一漏洞是由一名用户提及的，该用户向他发送了一份包含 207,000 条从 Spoutible API 抓取的记录的文件。

Spoutible 的创始人兼 CEO Christopher Bouzy 曾将该平台宣传为 X（前称
Twitter）的替代品，并于周二发布了一份，告知用户有关数据泄露的信息以及如何保护自己的账户。

Bouzy 写道：“我们对此事非常重视，已经实施了额外的安全措施以防止未来事件的发生，并将通知相关当局，包括 FBI。”

Spoutible 用户被建议更改密码、重置双重身份验证，并继续监控账户是否有可疑活动。

Spoutible API 漏洞可能导致账户接管

Hunt 在他的博客中详细说明了 Spoutible 的漏洞，对可通过 API 公开获取的信息感到震惊。除了电子邮件地址、IP地址和绑定手机号的用户电话号码外，API 还泄露了 bcrypt 哈希密码、2FA 种子、bcrypt 哈希的 2FA 备用代码和密码重置令牌。

虽然这些密码和备用代码并未以未加密格式泄露，Hunt 指出，bcrypt 哈希相对容易被破解。他通过在挑战他的追随者试图解密一个六位数的
2FA 备用代码哈希，结果他的追随者在不到三分钟内成功破解。

Hunt 还注意到，Spoutible 对密码强度的要求很少，仅要求密码长度在 6 到 20 个字符之间。此外，Hunt 也示范了 API 泄露的 2FA种子（或称“2fa_secret”字段项）如何被用来生成一次性密码，作为第二身份验证因素。有了这些信息和 2FA 备用代码，即便是启用 2FA的账户也容易被接管。

最后，通过 API泄露的密码重置令牌使得任何人都可以轻松接管账户，只需更改账户密码。而用户不会收到关于密码更改的邮件通知，也没有办法查看自己账户上的所有登录会话，Hunt写道。

除了向 Spoutible 报告该问题，Hunt 还将所有 207,000 个被抓取的电子邮件地址添加到“Have I BeenPwned?”的可搜索泄露数据库中。

Spoutible CEO 辩护平台，指责“恶意”数据抓取

Hunt 赞扬 Spoutible 在修复漏洞方面的“优秀”响应速度，并称 Bouzy就数据泄露与其沟通的做法“值得称赞”。对于的众多回复同样称赞了公司和
CEO 的迅速反应，但也有一些人批评 Bouzy 的声明仅提到“电子邮件地址和一些手机号码”被泄露。

在自己的 Spoutible 和 X 帐号上，Bouzy为平台辩护，并向 Hunt 发送抓取记录的人是在对网站进行“攻击”。

Bouzy 在 X 上写道：“恶意