查找域名过期的易受攻击的Twitter帐户

2020-08-24 02:51:22

最近,我发现了一个针对Twitter账户的简单而有效的攻击载体(它可能也适用于其他平台)。此攻击媒介使得使用过期的域的登录电子邮件很容易查找和攻击易受攻击的帐户。如果用户在自己的域中使用电子邮件创建了一个Twitter帐户,然后在某个时候忘记续订他们的域,那么该帐户可能会被劫持,方法是注册该域,将所有电子邮件转发到您的电子邮件,然后提交该帐户的密码重置。就其本身而言,这很难说是一个攻击媒介,因为找到这些易受攻击的账户才是更重要的部分,而且我们已经知道,拥有某人的电子邮件本质上是一场结束的游戏。当您可以将此攻击与快速大规模查找这些易受攻击的帐户的有效方法相结合时,此攻击将变得更加危险。事实证明,这在Twitter上是微不足道的,原因有几个,这要归因于他们的平台设计。

如果你熟悉Twitter,你就会知道用户可以选择添加一个公共网站URL。只需一个简单的脚本和代理,攻击者就可以快速遍历数百万个帐户,并检查该url中的域是否未注册;这通常表明twitter帐户可能是用现已过期的域上的电子邮件地址创建的。为了验证这一点,他们可以提交密码重置,这将向他们显示帐户电子邮件地址的审查版本以供确认;但是,即使经过审查,它仍然提供足够的信息来检查电子邮件域是否与他们的帐户配置文件中列出的过期域匹配。如果是这样的话,攻击者现在知道这是一个可以被黑客攻击的帐户。一旦整个过程自动化,查找这些帐户就变得非常容易。这种账户劫持的方法现在很可能正被恶意黑客使用,我相信它占了平台上被盗账户/句柄的很大一部分。

假设可以找到类似的发现方法,此攻击可能会在Twitter以外的其他平台上执行。在Twitter的案例中,他们可能会在请求重置密码时不显示任何电子邮件确认,从而使发现这些账户变得更加困难。这将使这一过程对攻击者来说成本更高,他们将不再能够在注册域名之前验证帐户是否可以被黑客攻击。或者,Twitter应该监控那些不再注册的域名,并在发生这种情况时通知用户,这样他们就会意识到这一点。对于大多数用户来说,除了打开2FA之外,在您自己的域上使用电子邮件创建帐户时非常小心也很重要;如果您忘记续订或在某些极端情况下(如监禁或死亡)无法续订,则很容易失去访问权限。