近日,一个包含超过 2 亿 Twitter 用户数据的文件在一个流行的黑客论坛上发布,价格约为 2 美元。 目前,已经证实了泄露中列出的诸多用户数据的有效性。
自 2022 年 7 月 22 日以来,攻击者一直在各种在线黑客论坛和网络犯罪市场上出售和流转大量的 Twitter 用户资料,其中包括私人(电话号码和电子邮件地址)和公共数据。
这些数据集是在 2021 年利用 Twitter 的 API 漏洞创建的,该漏洞允许用户输入电子邮件地址和电话号码,以确认它们是否与 Twitter ID 相关。
然后,攻击者利用另一个 API 抓取该 ID 的公共 Twitter 数据,并将这些公共数据与私人电子邮件地址/电话号码相结合,创建完整的 Twitter 用户档案。
虽然 Twitter 在 2022 年 1 月修复了这个漏洞,但最近多个攻击者开始免费泄露他们一年前收集的数据集。
第一个 540 万用户的数据集在 7 月以 3 万美元的价格出售,并最终在 2022 年 11 月 27 日免费发布。另一个据称包含 1700 万用户数据的数据集也在 11 月私下流转。
最近,一个威胁行为者开始出售一个数据集,他们声称该数据集包含 4 亿份 Twitter 资料。
2 亿 Twitter 用户资料被公开
今天,一名攻击者在 Breached 黑客论坛上发布了一个由 2 亿条 Twitter 用户资料组成的数据集,仅需要该论坛的 8 个货币价值约 2 美元,即可下载。
据称,这个数据集与 11 月流传的 4 亿个数据集相同,但经过清理,去掉重复的数据,总数减少到约 2 亿条。这些数据是以 RAR 档案的形式发布的,包括六个文本文件,总大小为 59GB 的数据。
文件中的每一行都代表一个 Twitter 用户和他们的数据,其中包括电子邮件地址、姓名、网名、关注人数和账户创建日期,如下图所示。
目前已经能够确认许多列出的 Twitter 个人资料是正确的,但整个数据集并没有得到确认。此外,该数据集并非完整,因为有许多用户没有被发现在此次泄漏中。判断个人信息是否在这个数据集中,高度取决于你的电子邮件地址是否在以前的数据泄露中被曝光。
BleepingComputer 工作人员第一时间就这一泄露的数据联系了 Twitter,但目前并没有得到回复。
