会员专享故事：账户删除漏洞暴露聊天记录，研究员获 1000 美元奖金（30 天挑战第 5 天）

揭秘聊天隐私漏洞及其修复方案

0day 故事专栏 · 4 分钟阅读 · 2025 年 1 月 6 日

各位漏洞赏金猎人们好！

我是一名安全研究员，正在挑战连续 30 天每天解析一份漏洞赏金报告（共 30 份！）。目标是让这些技术报告通俗易懂，分享我在研究过程中的有趣发现，并激励更多人加入漏洞赏金的世界。无论你是专业人士还是技术爱好者，希望这个系列能给你带来启发。现在开始今天的案例！

今日报告：Nextcloud 聊天功能在账户删除后的隐私泄露问题

研究员如何发现 Nextcloud 的关键隐私漏洞

在审查 Nextcloud 官方对比页面(https://nextcloud.com/compare/)的数据请求和账户删除功能时，研究员发现了一个严重的隐私缺陷。该问题涉及用户删除账户后用户名的重复使用机制——当新用户注册已被删除的相同用户名时，竟能查看到该用户名之前的全部聊天记录。下面我们深入解析这个漏洞的发现过程。

漏洞详情：账户删除后历史聊天消息仍可被查看...更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手