Twitter承認近期曝光的用戶數據泄露事件,是黑客利用一個零日漏洞來實現的,目前該漏洞已經修復。該漏洞存在於將電子郵件地址和電話號碼綁定用戶帳戶的這項功能中,導致黑客獲取一份包含540萬用戶賬戶的列表文件。
上個月 BleepingComputer 獲悉,有黑客表示他們可以利用社交媒體網站上的一個漏洞,創建一個包含 540 萬個 Twitter 帳戶配置文件的列表。
此漏洞允許任何人提交電子郵件地址或電話號碼,驗證它是否與 Twitter 帳戶關聯,並檢索關聯的帳戶 ID。然後,威脅參與者使用此 ID 來抓取該帳戶的公共信息。
這使得攻擊者能夠在 2021 年 12 月創建 540 萬 Twitter 用戶的個人資料,包括經過驗證的電話號碼或電子郵件地址,並抓取公共信息,例如關註者數量、屏幕名稱、登錄名、位置、個人資料圖片 URL 和其他信息。
BleepingComputer 後來解到,兩個不同的威脅參與者以低於原始售價的價格購買這些數據,並且這些數據可能會在未來免費發佈。
今天,Twitter 已確認威脅行為者在 12 月使用的漏洞與他們在 2022 年 1 月報告並修復的漏洞相同,這是他們作為 HackerOne 漏洞賞金計劃的一部分。
Twitter 在今天的安全公告中披露:“在 2022 年 1 月,我們通過我們的漏洞賞金計劃收到一份漏洞報告,該漏洞允許某人識別與帳戶關聯的電子郵件或電話號碼,或者,如果他們知道某人的電子郵件或電話號碼,他們可以識別他們的 Twitter 帳戶,如果存在的話”。