难怪马斯克裁掉整个安全部门,Twitter 540万用户数据在暗网公开

  就在马斯克宣布裁撤整个安全部门之后,Twitter 再次传来一个重磅消息,超过 540 万条用户数据已经在暗网公开,并且免费共享给所有人。此外,安全人员还披露了另外一个可能泄露的,规模更大的数据库,其中包含了上千万条 Twitter 数据。

  这些数据包含了大多数的公共信息,包括包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL;以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来,那么意味着数百万的 Twitter 用户将有可能面临潜在的网络钓鱼攻击。

  数据泄露 6 个月后才修复漏洞

  根据国外媒体报道,2022 年 8 月 5 日,Twitter 在其隐私中心发布声明,确认此前被曝出的 540 万个账户信息泄露事件确实存在。

  据了解,黑客利用漏洞创建了一个包含 540 万个 Twitter 账户的数据库,知道某人的电子邮件地址或电话号码就可能可以查到相关的 Twitter 账户,以及公开的个人资料信息。

  Twitter 表示,之所以直接发布这一声明,是因为无法确认每一个可能受到影响的账户,因此无法单独向账户发送信息泄露警告。“拥有匿名账户的人需要尤其注意,他们可能会被政府或其他人锁定目标。”Twitter 在声明中强调。

  被黑客利用的漏洞是 Twitter 在 2021 年 6 月更新时引入的:如果有人向 Twitter 系统提交一个电子邮件地址或电话号码,Twitter 系统会回复相关联的账户信息。

  2022 年 1 月 1 日,网络安全平台 Hackerone 用户 zhirinovsky 报告了这一漏洞,并在 Twitter 的漏洞奖励计划中获得 5040 美元的奖励。根据报告,该漏洞对拥有私人或匿名账户的用户构成了“严重威胁”,可能被用来“创建数据库”,或通过大数据分析出 Twitter 的用户画像。

  得知此事后,Twitter 立即进行了调查和修复。当时没有证据表明有人利用了这个漏洞,然而这已是漏洞被引入代码库的 6 个月之后。Twitter 并未在隐私中心对此发表任何说明。

  7 月 21 日,媒体 RestorePrivacy 注意到一位新用户在黑客论坛上以 3 万美元出售 Twitter 数据库,称涉及 540 万用户,包括“从名人到公司”的用户数据。RestorePrivacy 验证发现,受害者来自世界各地,这些被泄露的数据包括与 Twitter 账号绑定的电子邮件、电话号码、公开的个人资料信息,并可以与真实的人相匹配。

  这已经不是 Twitter 第一次发生大规模数据泄露事件,2019 年 1 月,Twitter 披露了其修复的一个安全漏洞,而在此前四年多的时间里,该漏洞使得许多用户的私人推文被泄露。而此次数据泄露也是漏洞引起,并且经过长达六个月的时间才修复完成。

  难怪马斯克一上任就裁掉了 Twitter 整个安全部门,作为全球大型社交平台之一,其安全能力属实无法令人满意。

  数据泄露的远比想象中的多

  如今,540 万条用户数据已经在暗网上免费共享,给无数 Twitter 用户带来了巨大的安全风险。

  但更糟糕的消息还在后面,免费共享 540 万条用户数据的发布者称,这仅仅是 Twitter 数据泄露的一部分,他们还窃取了更多的用户数据。据悉这些泄露的 Twitter 数据已经达到千万级,其中包括使用相同 API 错误收集的个人电话号码,以及公共信息,包括已验证状态、帐户名、Twitter ID、个人简介和屏幕名称。

  Loder 最早在 Twitter 上发布了上述更大数据泄露的消息,发帖后不久他就被停职。Loder 随后在 Mastodon 上发布了这个更大规模数据泄露的编辑样本 。

  “我刚刚收到证据表明,大规模的 Twitter 数据泄露事件影响了欧盟和美国的数百万 Twitter 账户。我联系了受影响账户的样本,他们确认泄露的数据是准确的。这次泄露事件发生时间不早于 2021 年。”

  Loder 分享更大漏洞的消息

  有安全专家通过这个未知的数据库的样本文件,对其中信息的真实性进行了核实。结果发现,包括电话号码在内的信息全部都真实有效,这也从侧面证明了此次千万级数据泄露是真实存在的。

  此外,这些用于核实的信息都没有出现在 8 月份出售的原始数据中,这说明 Twitter 的数据泄露比之前披露的要严重得多,而且攻击者之间流传着大量的用户数据。

  安全专家 Pompompurin 表示,目前不知道是谁创建了这个新发现的数据转储,表明其他人正在利用这个 API 漏洞。这个新发现的数据转储由许多按国家和地区代码分解的文件组成,包括欧洲、以色列和美国。

  有消息称这个泄露的数据库存储的信息量有可能达到 2 千万条,其泄漏量之大令人震惊,因此 Twitter 用户应提高警惕,仔细检查任何声称来自 Twitter 的电子邮件,避免陷入网络钓鱼攻击的陷进之中。

  参考来源

  https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/