Twitter遭黑客攻击泄露540万户数据，影响比想象中严重

推特遭受了大规模数据泄露事件暴露了其客户的电子邮件和电话号码，预计影响到多达540 多万用户电子邮件格式。据悉，这些数据是通过利用这个流行的社交媒体平台中一个现已修复的漏洞获得的。

威胁者在流行的黑客论坛 Breached Forums上提供出售被盗数据电子邮件格式。 1月，一份发表在 Hacker上的报告声称发现了一个漏洞，攻击者可以利用这个漏洞通过相关的电话号码 /电子邮件找到 Twitter账户，即使用户在隐私选项中选择了防止这种情况。

该漏洞允许任何一方在没有任何认证的情况下，通过提交电话号码 /电子邮件获得任何用户的 twitter ID（这几乎等同于获得一个账户的用户名），即使用户在隐私设置中已经禁止了这一行为电子邮件格式。该漏洞的存在是由于 Twitter的安卓客户端所使用的授权程序，特别是在检查 Twitter账户的重复性的程序。

zhirinovskiy通过漏洞赏金平台 HackerOne提交的报告中读到了这样的描述电子邮件格式。这是一个严重的威胁，因为人们不仅可以通过电子邮件 /电话号码找到那些被限制了能力的用户，而且任何具有基本脚本 /编码知识的攻击者都可以枚举一大块之前无法枚举的 Twitter用户群（创建一个具有电话 /电子邮件到用户名连接的数据库）。这样的数据库可以卖给恶意的一方，用于广告目的，或者用于在不同的恶意活动中给名人打标签。

卖家声称，该数据库包含从名人到公司的用户数据（即电子邮件、电话号码），卖家还以 csv文件的形式分享了一份数据样本电子邮件格式。

8月， Twitter证实，数据泄露是由研究人员 zhirinovskiy通过漏洞赏金平台 HackerOne提交的现已修补的零日漏洞造成的，他获得了 5040美元的赏金电子邮件格式。

据悉，这个错误是由 2021年 6月对我们的代码进行更新导致的电子邮件格式。当我们得知此事时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。

本周，网站 9to5mac.com声称，数据泄露的内容比该公司最初报告的要多电子邮件格式。该网站报告说，多个威胁者利用了同一个漏洞，网络犯罪地下的数据有不同的来源。去年 Twitter的一次大规模数据泄露，暴露了 500多万个电话号码和电子邮件地址，比最初报告的情况更糟糕。我们已经看到证据表明，同一个安全漏洞被多人利用，而被黑的数据已经被几个来源提供给暗网出售。

展开全文

9to5Mac 的说法是基于由不同的威胁行为者提供的包含不同格式的相同信息的数据集的可用性电子邮件格式。消息人士告诉该网站，该数据库 "只是他们看到的一些文件中的一个"。似乎受影响的账户只是那些在2021年底启用了 "可发现性|电话选项（在Twitter的设置中很难找到）"的账户。

9to5Mac 看到的档案包括属于英国、几乎所有欧盟国家和美国部分地区的Twitter用户的数据电子邮件格式。专家们推测，多个威胁者可以进入Twitter数据库，并将其与其他安全漏洞的数据相结合。

账号@chadloder （Twitter在消息披露后）背后的安全研究员告诉9to5Mac. 电子邮件-Twitter 配对是通过这个Twitter可发现性漏洞运行现有的1亿多电子邮件地址的大型数据库得出的"电子邮件格式。该研究人员告诉该网站，他们将与Twitter联系以征求意见，但整个媒体关系团队都离开了该公司。

往期推荐

多方受害电子邮件格式！Donut勒索组织正对企业部署双重勒索 2022-11-24

研究人员警告电子邮件格式！已有34种Cobalt Strike工具被黑客利用 2022-11-23

美国CISA、NSA、ODNI联合发布保护软件供应链安全指南 2022-11-22