Twitter 證實，最近泄露 540 萬個賬戶數據的數據泄露事件是由利用零日漏洞造成的。7月底，一名威脅參與者泄露了 540 萬個 Twitter 賬戶的數據，這些賬戶是通過利用Twitter 平臺中現已修復的漏洞獲得的。

威脅行為者在流行的黑客論壇 Breached Forums 上出售被盜數據。早在一月份，Hacker 上發布的一份報告聲稱發現了一個漏洞，攻擊者可以利用該漏洞通過相關的電話號碼/電子郵件找到 Twitter 賬戶，即使用戶已選擇在隱私選項中阻止這種情況。

“該漏洞允許任何未經任何身份驗證的一方 通過提交電話號碼/電子郵件來獲取任何用戶的Twitter ID（這幾乎等于獲取賬戶的用戶名），即使用戶已在隱私設置中禁止此操作。由于 Twitter 的 Android 客戶端中使用的授權過程，特別是在檢查 Twitter 賬戶重復的過程中，存在該錯誤。”zhirinovskiy 提交的報告中指出：“通過漏洞賞金平臺 HackerOne，這是一個嚴重的威脅，因為人們不僅可以找到限制通過電子郵件/電話號碼找到能力的用戶，而且任何具有腳本/編碼基本知識的攻擊者都可以列舉出大量無法使用的 Twitter 用戶群枚舉之前（創建一個帶有電話/電子郵件到用戶名連接的數據庫）。此類基地可以出售給惡意方用于廣告目的，或用于在不同的惡意活動中對名人進行攻擊。”

賣家聲稱該數據庫包含從名人到公司的用戶數據（即電子郵件、電話號碼）。賣家還以 csv 文件的形式分享了一份數據樣本。

在帖子發布幾個小時后，Breach Forums 的所有者驗證了泄漏的真實性，并指出它是通過上述 HackerOne 報告中的漏洞提取的。

“我們下載了樣本數據庫進行驗證和分析。它包括來自世界各地的人，擁有公開的個人資料信息以及與該賬戶一起使用的 Twitter 用戶的電子郵件或電話號碼。”

賣家告訴 RestorePrivacy，他要求為整個數據庫至少支付 30,000 美元。

現在 Twitter 確認數據泄露是由 zhirinovskiy 通過漏洞賞金平臺 HackerOne 提交的現已修補的零日漏洞造成的。

Twitter 確認了此漏洞的存在，并授予了 zhirinovskiy 5,040美元的獎金。

“我們想讓你知道一個漏洞，該漏洞允許某人在登錄流程中輸入電話號碼或電子郵件地址，以試圖了解該信息是否與現有的 Twitter 賬戶相關聯，如果是，哪個特定賬戶。” Twitter 的公告。“在 2022 年 1 月，我們通過我們的漏洞賞金計劃收到了一份漏洞報告，該漏洞允許某人識別與賬戶關聯的電子郵件或電話號碼，或者，如果他們知道某人的電子郵件或電話號碼，他們可以識別他們的 Twitter 賬戶，如果存在的話，”這家社交媒體公司繼續說道。

“這個錯誤是由 2021 年 6 月我們的代碼更新造成的。當我們了解到這一點時，我們立即進行了調查并修復了它。當時，我們沒有證據表明有人利用了這個漏洞。”

該公司正在通知受影響的用戶，它還補充說，它知道安全漏洞對那些使用假名 Twitter 賬戶以保護其隱私的用戶造成的風險。沒有泄露密碼，但鼓勵其用戶 使用身份驗證應用程序或硬件安全密鑰啟用 2 因素身份 驗證，以保護其賬戶免受未經授權的登錄。

BleepingComputer報告說，兩個不同的威脅參與者以低于原始售價的價格購買了這些數據。這意味著威脅行為者將來可以使用這些數據來攻擊 Twitter 賬戶。

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明