[AOH 020]使用ChatGPT接管twitter账户

admin 2023年3月17日01:25:58评论49 views字数 1541阅读5分8秒阅读模式

一、前言

大约5到6年前,我注册了一个用户名为@djerryz的twitter账户,当我试图访问https://twitter.com/djerryz时,可以看到该账户已被暂停:

[AOH 020]使用ChatGPT接管twitter账户

最糟糕的是,我已经忘记了与该账户相关的所有详细信息,包括相关的电子邮件和密码,甚至尝试了各种常用的邮件和密码组合,均失败。

此刻,我的脑袋一片空白,djerryz已经是我的一种符号,使用别的用户名,总感觉差点味。

为了能在 Twitter 上使用用户名@djerryz,我试图在没有任何形式的身份验证与任何额外知识的情况下接管这个丢失已久的帐户,以下内容均为真实经历,只玩真实的。

二、接管账号

1. 确定邮件地址

首先在 Twitter 登录页面上输入@djerryz 并单击“忘记密码”, 再次输入djerryz:

[AOH 020]使用ChatGPT接管twitter账户

[AOH 020]使用ChatGPT接管twitter账户

提示一串打码的电子邮件地址:d******@y****.***

[AOH 020]使用ChatGPT接管twitter账户

然后我问ChatGPT一些常见的以“y”开头的电子邮件提供商是什么,它建议雅虎:

[AOH 020]使用ChatGPT接管twitter账户

我试图在 Yahoo 上登录 [email protected],但不幸的是,提示该用户不存在:

[AOH 020]使用ChatGPT接管twitter账户

我暂时怀疑可能有另一个电子邮件提供商与该帐户关联,并询问ChatGPT,如果我忘记了twitter密码且无法访问关联的电子邮件,该怎么办。

ChatGPT建议我访问Twitter的密码重置页面https://twitter.com/account/begin_password_reset,在那里我可以输入我的Twitter用户名或相关的电子邮件地址,然后单击“搜索” :

[AOH 020]使用ChatGPT接管twitter账户

我进在/account/begin_password_reset页面上,先输入了[email protected]:

[AOH 020]使用ChatGPT接管twitter账户

然后在下一页上键入djerryz:

[AOH 020]使用ChatGPT接管twitter账户

可以看到这二者是完全匹配的,即确认[email protected]确实是关联的电子邮件地址:

[AOH 020]使用ChatGPT接管twitter账户

2. 占用已消失的邮箱

接下来的关键是接管[email protected]这个账户, 我问ChatGPT,当账户被雅虎删除时,我该怎么办:

[AOH 020]使用ChatGPT接管twitter账户

它告诉我我应该创建一个新的。

然后我想知道是否可以注册[email protected]的电子邮件地址,居然是可以的:

[AOH 020]使用ChatGPT接管twitter账户

3. 重置密码与解封

注册后,我使用Twitter登录页面上的“忘记密码”功能向[email protected]电子邮件地址发送重置密码的申请:

[AOH 020]使用ChatGPT接管twitter账户

完成了密码重置,并成功登录进账号,接着使用账号权限发送解封邮件,大约1个星期后,账号被顺利解封:

[AOH 020]使用ChatGPT接管twitter账户

4. 改名

解封后,我将帐户名更改为@djerryz_old,将我当前的@djerryz2帐户重命名为@djerryz,酷!终于,我使用上了djerryz这个账号!

[AOH 020]使用ChatGPT接管twitter账户


三、总结与思考

在整个接管过程中,除了用户名@djerryz之外,我没有其他信息或知识,换言之,任何人都可以按照相同的步骤接管这个账户,好在我意识到这一点并成功落实了我的想法,不至于到达无法挽回的程度。

这算是漏洞嘛?

当然,但我更倾向于认为这个问题更多是关于用户个人的安全意识或者用户个人的漏洞,而不是推特公司业务漏洞。你可以想象一下这种情况就像是一个使用了"123456"这种弱密码的用户被人在没有任何知识和授权的情况下输入了一串弱密码,然后被接管了。本质上,这个问题的性质是相同的,只是场景和攻击路径有所不同。

但是换个角度看,如果存在弱密码或者上述接管行为发生在推特CEO马斯克的账户上,或者发生在一个拥有高级权限并且能够进一步破坏和窃取动作的角色上,那么我认为这不仅是个人问题,而是会给推特造成实际的损害。因此,无疑这个账户在没有授权的情况下被接管,但是我们可以根据实际的危害来多方面地评估这个问题。您觉得呢?

原文始发于微信公众号(Art Of Hunting):[AOH 020]使用ChatGPT接管twitter账户

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月17日01:25:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [AOH 020]使用ChatGPT接管twitter账户https://cn-sec.com/archives/1601275.html

发表评论

匿名网友 填写信息