Twitter承認零日漏洞導致540萬用戶數據被竊 目前已修復


Twitter承認近期曝光的用戶數據泄露事件,是黑客利用一個零日漏洞來實現的,目前該漏洞已經修復。該漏洞存在於將電子郵件地址和電話號碼綁定用戶帳戶的這項功能中,導致黑客獲取一份包含540萬用戶賬戶的列表文件。

上個月 BleepingComputer 獲悉,有黑客表示他們可以利用社交媒體網站上的一個漏洞,創建一個包含 540 萬個 Twitter 帳戶配置文件的列表。

此漏洞允許任何人提交電子郵件地址或電話號碼,驗證它是否與 Twitter 帳戶關聯,並檢索關聯的帳戶 ID。然後,威脅參與者使用此 ID 來抓取該帳戶的公共信息。

這使得攻擊者能夠在 2021 年 12 月創建 540 萬 Twitter 用戶的個人資料,包括經過驗證的電話號碼或電子郵件地址,並抓取公共信息,例如關註者數量、屏幕名稱、登錄名、位置、個人資料圖片 URL 和其他信息。

BleepingComputer 後來解到,兩個不同的威脅參與者以低於原始售價的價格購買這些數據,並且這些數據可能會在未來免費發佈。

今天,Twitter 已確認威脅行為者在 12 月使用的漏洞與他們在 2022 年 1 月報告並修復的漏洞相同,這是他們作為 HackerOne 漏洞賞金計劃的一部分。

Twitter 在今天的安全公告中披露:“在 2022 年 1 月,我們通過我們的漏洞賞金計劃收到一份漏洞報告,該漏洞允許某人識別與帳戶關聯的電子郵件或電話號碼,或者,如果他們知道某人的電子郵件或電話號碼,他們可以識別他們的 Twitter 帳戶,如果存在的話”。


相關推薦

2022-08-21

面對馬斯克的“虛假賬號指控”,社交媒體推特開始改進用戶認證服務。當地時間8月19日,科技媒體The Verge報道稱,工程師JaneManchunWong發現推特在用戶資料欄中添加“電話號碼認證(Verified phone number

2022-07-22

2022年初發現的一個Twitter安全漏洞被用來盜取540萬用戶的賬戶信息,黑客正在提供這套資料進行銷售。與2021年8月受影響的4.78億T-Mobile用戶相比,540萬用戶的黑客攻擊相比算是很小的。與同月晚些時候受影響的AT&T的7000萬

2022-07-22

剛將一個在GoogleChrome瀏覽器中被積極利用(現已修復)的零日漏洞,與一傢針對中東記者的以色列間諜軟件制造商聯系起來。據悉,作為一傢總部位於特拉維夫的黑客雇傭公司,Candiru(又稱SaitoTech)與此前被卷入醜聞的NSOGroup非

2022-07-25

的刑事罪名指控。在這份雙方達成的不指控協議中,Uber承認,在2016年11月的黑客襲擊事件發生後,工作人員並未及時向美國證券交易委員會報告情況,而證交會之前一直在調查Uber的數據安全問題。美國加州舊金山的檢察官西茲

2023-03-07

當地時間周一,數千名Twitter用戶報告訪問該社交媒體平臺和其他網站的鏈接時出現的問題。事後,Twitter公司表示,目前已經修復一系列故障中的最後一個問題。馬斯克在Twitter上回應稱,是Twitter數據訪問工具的一個小變化引發

2022-08-29

到直接聯系人。這位研究專傢表示:“我通過他們的官方Twitter賬戶聯系航空公司,要求他們提供一個電子郵件 ID 來報告這個問題。他們給我 info@akasa 電子郵件 ID,我沒有向其分享漏洞詳細信息,因為它可能由支持人員或第三方

2023-11-29

應對持續的攻擊利用。該公司在今天發佈的新安全公告中承認存在安全缺陷漏洞(編號為CVE-2023-6345)。該公司表示:“Google意識到 CVE-2023-6345 的漏洞存在。”該漏洞已在穩定桌面頻道中得到解決,修補版本已在全球范圍內向 Wind

2022-09-06

。在Google推出的更新中修復追蹤編號為CVE-2022-3075的高危零日漏洞,目前已經有證據表明有黑客利用該漏洞執行攻擊。在部分匿名用戶於 8 月 30 日報告該問題之後,Google 立即著手修復該問題。安裝本次更新之後,Chrome 版本號升

2022-09-20

中確認,實際上有少數用戶的賬戶已經被暴露。不過這次漏洞並沒有導致任何資金被盜,。然而,該公司沒有透露哪些信息已經暴露,但它說它現在正在聯系每一個用戶,告知有關該漏洞以及其可能帶來的影響。"不同客戶的

2024-03-08

印度選舉委員會已修復其網站上的漏洞,這些漏洞暴露與公民要求獲得有關其投票資格狀況、當地政治候選人和政黨以及電子投票機技術細節等信息相關的數據。印度即將舉行下屆大選,預計在4月至5月間選出議會下院議員,並

2022-10-21

微軟於本周三承認,由於服務器配置錯誤導致包括聯系信息和電子郵件內容在內的未統計客戶數據泄露,黑客可能已經通過網絡訪問這部分數據。微軟沒有透露數據可能在泄漏中暴露的公司數量或涉及的數據量的細節。網絡安全

2022-07-07

軟今天也發佈修復補丁,修復被追蹤為CVE-2022-2294的高危零日漏洞。微軟也沒有詳細說明修復的細節,隻是在Edge的更新日志中指出:“此更新包含對CVE-2022-2294的修復,Chromium團隊已報告該漏洞被黑客利用”。目前安裝該補丁之後

2024-04-25

三星、騰訊、vivo和小米等八傢主流供應商輸入法的安全漏洞問題,引起廣泛關註。這些漏洞的嚴重性在於,它們允許專傢“竊聽”用戶敲擊輸入的內容,對用戶的隱私安全構成嚴重威脅。閱讀報告全文:https://citizenlab.ca/2024/04/vu

2024-05-26

露。報道指出,Kakao在得知KakaoTalk應用程序編程接口存在漏洞風險,卻沒有切實檢查個人信息保護情況,也沒有采取防護措施,導致黑客能夠識別每個用戶賬號的序列號,造成用戶數據泄漏並被出售。不過對於調查結果,Kakao明