Twitter遭黑客攻擊泄露540萬(wàn)戶數(shù)據(jù)�,影響比想象中嚴(yán)重
2022年11月28日
推特遭受了大規(guī)模數(shù)據(jù)泄露事件暴露了其客戶的電子郵件和電話號(hào)碼,預(yù)計(jì)影響到多達(dá)540多萬(wàn)用戶��。據(jù)悉����,這些數(shù)據(jù)是通過(guò)利用這個(gè)流行的社交媒體平臺(tái)中一個(gè)現(xiàn)已修復(fù)的漏洞獲得的�����。
威脅者在流行的黑客論壇Breached Forums上提供出售被盜數(shù)據(jù)����。1月,一份發(fā)表在Hacker上的報(bào)告聲稱(chēng)發(fā)現(xiàn)了一個(gè)漏洞�,攻擊者可以利用這個(gè)漏洞通過(guò)相關(guān)的電話號(hào)碼/電子郵件找到Twitter賬戶,即使用戶在隱私選項(xiàng)中選擇了防止這種情況����。
該漏洞允許任何一方在沒(méi)有任何認(rèn)證的情況下�����,通過(guò)提交電話號(hào)碼/電子郵件獲得任何用戶的twitter ID(這幾乎等同于獲得一個(gè)賬戶的用戶名)����,即使用戶在隱私設(shè)置中已經(jīng)禁止了這一行為���。該漏洞的存在是由于Twitter的安卓客戶端所使用的授權(quán)程序�����,特別是在檢查T(mén)witter賬戶的重復(fù)性的程序��。
zhirinovskiy通過(guò)漏洞賞金平臺(tái)HackerOne提交的報(bào)告中讀到了這樣的描述����。這是一個(gè)嚴(yán)重的威脅�,因?yàn)槿藗儾粌H可以通過(guò)電子郵件/電話號(hào)碼找到那些被限制了能力的用戶�,而且任何具有基本腳本/編碼知識(shí)的攻擊者都可以枚舉一大塊之前無(wú)法枚舉的Twitter用戶群(創(chuàng)建一個(gè)具有電話/電子郵件到用戶名連接的數(shù)據(jù)庫(kù))。這樣的數(shù)據(jù)庫(kù)可以賣(mài)給惡意的一方�,用于廣告目的,或者用于在不同的惡意活動(dòng)中給名人打標(biāo)簽�。
賣(mài)家聲稱(chēng)���,該數(shù)據(jù)庫(kù)包含從名人到公司的用戶數(shù)據(jù)(即電子郵件、電話號(hào)碼)�,賣(mài)家還以csv文件的形式分享了一份數(shù)據(jù)樣本。
8月�����,Twitter證實(shí)���,數(shù)據(jù)泄露是由研究人員zhirinovskiy通過(guò)漏洞賞金平臺(tái)HackerOne提交的現(xiàn)已修補(bǔ)的零日漏洞造成的����,他獲得了5040美元的賞金�����。
據(jù)悉�,這個(gè)錯(cuò)誤是由2021年6月對(duì)我們的代碼進(jìn)行更新導(dǎo)致的。當(dāng)我們得知此事時(shí)��,我們立即進(jìn)行了調(diào)查并修復(fù)了它�。當(dāng)時(shí),我們沒(méi)有證據(jù)表明有人利用了這個(gè)漏洞。
本周�����,網(wǎng)站9to5mac.com聲稱(chēng)�����,數(shù)據(jù)泄露的內(nèi)容比該公司最初報(bào)告的要多�。該網(wǎng)站報(bào)告說(shuō),多個(gè)威脅者利用了同一個(gè)漏洞�,網(wǎng)絡(luò)犯罪地下的數(shù)據(jù)有不同的來(lái)源。去年Twitter的一次大規(guī)模數(shù)據(jù)泄露�,暴露了500多萬(wàn)個(gè)電話號(hào)碼和電子郵件地址,比最初報(bào)告的情況更糟糕����。我們已經(jīng)看到證據(jù)表明,同一個(gè)安全漏洞被多人利用�,而被黑的數(shù)據(jù)已經(jīng)被幾個(gè)來(lái)源提供給暗網(wǎng)出售。
9to5Mac的說(shuō)法是基于由不同的威脅行為者提供的包含不同格式的相同信息的數(shù)據(jù)集的可用性�。消息人士告訴該網(wǎng)站,該數(shù)據(jù)庫(kù) "只是他們看到的一些文件中的一個(gè)"���。似乎受影響的賬戶只是那些在2021年底啟用了 "可發(fā)現(xiàn)性|電話選項(xiàng)(在Twitter的設(shè)置中很難找到)"的賬戶���。
9to5Mac看到的檔案包括屬于英國(guó)、幾乎所有歐盟國(guó)家和美國(guó)部分地區(qū)的Twitter用戶的數(shù)據(jù)���。專(zhuān)家們推測(cè)����,多個(gè)威脅者可以進(jìn)入Twitter數(shù)據(jù)庫(kù)����,并將其與其他安全漏洞的數(shù)據(jù)相結(jié)合。
賬號(hào)@chadloder(Twitter在消息披露后)背后的安全研究員告訴9to5Mac.電子郵件-Twitter配對(duì)是通過(guò)這個(gè)Twitter可發(fā)現(xiàn)性漏洞運(yùn)行現(xiàn)有的1億多電子郵件地址的大型數(shù)據(jù)庫(kù)得出的"�。該研究人員告訴該網(wǎng)站,他們將與Twitter聯(lián)系以征求意見(jiàn)�����,但整個(gè)媒體關(guān)系團(tuán)隊(duì)都離開(kāi)了該公司���。
文字來(lái)源:E安全
