Twitter 證實，最近泄露 540 萬個賬戶數(shù)據(jù)的數(shù)據(jù)泄露事件是由利用零日漏洞造成的。7月底，一名威脅參與者泄露了 540 萬個 Twitter 賬戶的數(shù)據(jù)，這些賬戶是通過利用Twitter 平臺中現(xiàn)已修復(fù)的漏洞獲得的。

威脅行為者在流行的黑客論壇 Breached Forums 上出售被盜數(shù)據(jù)。早在一月份，Hacker 上發(fā)布的一份報告聲稱發(fā)現(xiàn)了一個漏洞，攻擊者可以利用該漏洞通過相關(guān)的電話號碼/電子郵件找到 Twitter 賬戶，即使用戶已選擇在隱私選項中阻止這種情況。

“該漏洞允許任何未經(jīng)任何身份驗證的一方 通過提交電話號碼/電子郵件來獲取任何用戶的Twitter ID（這幾乎等于獲取賬戶的用戶名），即使用戶已在隱私設(shè)置中禁止此操作。由于 Twitter 的 Android 客戶端中使用的授權(quán)過程，特別是在檢查 Twitter 賬戶重復(fù)的過程中，存在該錯誤。”zhirinovskiy 提交的報告中指出：“通過漏洞賞金平臺 HackerOne，這是一個嚴重的威脅，因為人們不僅可以找到限制通過電子郵件/電話號碼找到能力的用戶，而且任何具有腳本/編碼基本知識的攻擊者都可以列舉出大量無法使用的 Twitter 用戶群枚舉之前（創(chuàng)建一個帶有電話/電子郵件到用戶名連接的數(shù)據(jù)庫）。此類基地可以出售給惡意方用于廣告目的，或用于在不同的惡意活動中對名人進行攻擊。”

賣家聲稱該數(shù)據(jù)庫包含從名人到公司的用戶數(shù)據(jù)（即電子郵件、電話號碼）。賣家還以 csv 文件的形式分享了一份數(shù)據(jù)樣本。

在帖子發(fā)布幾個小時后，Breach Forums 的所有者驗證了泄漏的真實性，并指出它是通過上述 HackerOne 報告中的漏洞提取的。

“我們下載了樣本數(shù)據(jù)庫進行驗證和分析。它包括來自世界各地的人，擁有公開的個人資料信息以及與該賬戶一起使用的 Twitter 用戶的電子郵件或電話號碼。”

賣家告訴 RestorePrivacy，他要求為整個數(shù)據(jù)庫至少支付 30,000 美元。

現(xiàn)在 Twitter 確認數(shù)據(jù)泄露是由 zhirinovskiy 通過漏洞賞金平臺 HackerOne 提交的現(xiàn)已修補的零日漏洞造成的。

Twitter 確認了此漏洞的存在，并授予了 zhirinovskiy 5,040美元的獎金。

“我們想讓你知道一個漏洞，該漏洞允許某人在登錄流程中輸入電話號碼或電子郵件地址，以試圖了解該信息是否與現(xiàn)有的 Twitter 賬戶相關(guān)聯(lián)，如果是，哪個特定賬戶。” Twitter 的公告。“在 2022 年 1 月，我們通過我們的漏洞賞金計劃收到了一份漏洞報告，該漏洞允許某人識別與賬戶關(guān)聯(lián)的電子郵件或電話號碼，或者，如果他們知道某人的電子郵件或電話號碼，他們可以識別他們的 Twitter 賬戶，如果存在的話，”這家社交媒體公司繼續(xù)說道。

“這個錯誤是由 2021 年 6 月我們的代碼更新造成的。當我們了解到這一點時，我們立即進行了調(diào)查并修復(fù)了它。當時，我們沒有證據(jù)表明有人利用了這個漏洞。”

該公司正在通知受影響的用戶，它還補充說，它知道安全漏洞對那些使用假名 Twitter 賬戶以保護其隱私的用戶造成的風(fēng)險。沒有泄露密碼，但鼓勵其用戶 使用身份驗證應(yīng)用程序或硬件安全密鑰啟用 2 因素身份 驗證，以保護其賬戶免受未經(jīng)授權(quán)的登錄。

BleepingComputer報告說，兩個不同的威脅參與者以低于原始售價的價格購買了這些數(shù)據(jù)。這意味著威脅行為者將來可以使用這些數(shù)據(jù)來攻擊 Twitter 賬戶。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責人：張明