2022年11月28日
推特遭受了大規(guī)模數(shù)據(jù)泄露事件暴露了其客戶的電子郵件和電話號碼,預計影響到多達540多萬用戶。據(jù)悉,這些數(shù)據(jù)是通過利用這個流行的社交媒體平臺中一個現(xiàn)已修復的漏洞獲得的。
威脅者在流行的黑客論壇Breached Forums上提供出售被盜數(shù)據(jù)。1月,一份發(fā)表在Hacker上的報告聲稱發(fā)現(xiàn)了一個漏洞,攻擊者可以利用這個漏洞通過相關的電話號碼/電子郵件找到Twitter賬戶,即使用戶在隱私選項中選擇了防止這種情況。
該漏洞允許任何一方在沒有任何認證的情況下,通過提交電話號碼/電子郵件獲得任何用戶的twitter ID(這幾乎等同于獲得一個賬戶的用戶名),即使用戶在隱私設置中已經禁止了這一行為。該漏洞的存在是由于Twitter的安卓客戶端所使用的授權程序,特別是在檢查Twitter賬戶的重復性的程序。
zhirinovskiy通過漏洞賞金平臺HackerOne提交的報告中讀到了這樣的描述。這是一個嚴重的威脅,因為人們不僅可以通過電子郵件/電話號碼找到那些被限制了能力的用戶,而且任何具有基本腳本/編碼知識的攻擊者都可以枚舉一大塊之前無法枚舉的Twitter用戶群(創(chuàng)建一個具有電話/電子郵件到用戶名連接的數(shù)據(jù)庫)。這樣的數(shù)據(jù)庫可以賣給惡意的一方,用于廣告目的,或者用于在不同的惡意活動中給名人打標簽。
賣家聲稱,該數(shù)據(jù)庫包含從名人到公司的用戶數(shù)據(jù)(即電子郵件、電話號碼),賣家還以csv文件的形式分享了一份數(shù)據(jù)樣本。
8月,Twitter證實,數(shù)據(jù)泄露是由研究人員zhirinovskiy通過漏洞賞金平臺HackerOne提交的現(xiàn)已修補的零日漏洞造成的,他獲得了5040美元的賞金。
據(jù)悉,這個錯誤是由2021年6月對我們的代碼進行更新導致的。當我們得知此事時,我們立即進行了調查并修復了它。當時,我們沒有證據(jù)表明有人利用了這個漏洞。
本周,網站9to5mac.com聲稱,數(shù)據(jù)泄露的內容比該公司最初報告的要多。該網站報告說,多個威脅者利用了同一個漏洞,網絡犯罪地下的數(shù)據(jù)有不同的來源。去年Twitter的一次大規(guī)模數(shù)據(jù)泄露,暴露了500多萬個電話號碼和電子郵件地址,比最初報告的情況更糟糕。我們已經看到證據(jù)表明,同一個安全漏洞被多人利用,而被黑的數(shù)據(jù)已經被幾個來源提供給暗網出售。
9to5Mac的說法是基于由不同的威脅行為者提供的包含不同格式的相同信息的數(shù)據(jù)集的可用性。消息人士告訴該網站,該數(shù)據(jù)庫 "只是他們看到的一些文件中的一個"。似乎受影響的賬戶只是那些在2021年底啟用了 "可發(fā)現(xiàn)性|電話選項(在Twitter的設置中很難找到)"的賬戶。
9to5Mac看到的檔案包括屬于英國、幾乎所有歐盟國家和美國部分地區(qū)的Twitter用戶的數(shù)據(jù)。專家們推測,多個威脅者可以進入Twitter數(shù)據(jù)庫,并將其與其他安全漏洞的數(shù)據(jù)相結合。
賬號@chadloder(Twitter在消息披露后)背后的安全研究員告訴9to5Mac.電子郵件-Twitter配對是通過這個Twitter可發(fā)現(xiàn)性漏洞運行現(xiàn)有的1億多電子郵件地址的大型數(shù)據(jù)庫得出的"。該研究人員告訴該網站,他們將與Twitter聯(lián)系以征求意見,但整個媒體關系團隊都離開了該公司。
文字來源:E安全