首页
域名管理
云解析
DDI
IPv6改造
网络安全
案例&资讯
关于国科云
登录
免费试用
案例&资讯行业新闻新闻详情

Twitter再次传来重磅消息: 540万用户数据在暗网公开

发布时间:2022-11-29 09:38:14

就在马斯克宣布裁撤整个安全部门之后,Twitter再次传来一个重磅消息,超过540万条用户数据已经在暗网公开,并且免费共享给所有人。此外,安全人员还披露了另外一个可能泄露的,规模更大的数据库,其中包含了上千万条Twitter数据。

这些数据包含了大多数的公共信息,包括账户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、账户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL;以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来,那么意味着数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击

数据泄露6个月后才修复漏洞

根据国外媒体报道,202285日,Twitter在其隐私中心发布声明,确认此前被曝出的540万个账户信息泄露事件确实存在。

据了解,黑客利用漏洞创建了一个包含540万个Twitter账户的数据库,知道某人的电子邮件地址或电话号码就可能可以查到相关的Twitter账户,以及公开的个人资料信息。

540万个Twitter账户个人信息被公开

Twitter表示,之所以直接发布这一声明,是因为无法确认每一个可能受到影响的账户,因此无法单独向账户发送信息泄露警告。“拥有匿名账户的人需要尤其注意,他们可能会被政府或其他人锁定目标。”Twitter在声明中强调。

被黑客利用的漏洞是Twitter 20216月更新时引入的:如果有人向Twitter系统提交一个电子邮件地址或电话号码,Twitter系统会恢复相关联的账户信息。

202211日,网络安全平台Hackerone用户zhirinovsky报告了这一漏洞,并在Twitter的漏洞奖励计划中获得5040美元的奖励。根据报告,该漏洞对拥有私人或匿名账户的用户构成了“严重威胁”,可能被用来“创建数据库”,或通过大数据分析出Twitter的用户画像。

得知此事后,Twitter立即进行了调查和修复。当时没有证据表明有人利用了这个漏洞,然而这一是漏洞被引入代码库的6个月之后。Twitter并未在隐私中心对此发表任何说明。

721日,媒体RestorePrivacy注意到一位新用户在黑客论坛上以3万美元出售Twitter数据库,称涉及540万用户,包括“从名人到公司”的用户数据。RestorePrivacy验证发现,受害者来自世界各地,这些被泄露的数据包括与Twitter账号绑定的电子邮件、电话号码、公开的个人资料信息,并可以与真实的人相匹配。

这已经不是Twitter第一次发生大规模数据泄露事件,20191月,Twitter披露了其修复的一个安全漏洞,而在此前四年多的时间里,该漏洞使得许多用户的私人推文被泄露。而此次数据泄露也是漏洞引起,并且经过长达六个月的时间才修复完成。

难怪马斯克一上任就裁掉了Twitter整个安全部门,作为全球大型社交平台之一,其安全能力属实无法令人满意。

数据泄露的远比想象中的多

如今,540万条用户数据已经在暗网上免费共享,给无数Twitter用户带来了巨大的安全风险。

540万条用户数据在暗网上免费共享 

但更糟糕的消息还在后面,免费共享540 万条用户数据的发布者称,这仅仅是Twitter数据泄露的一部分,他们还窃取了更多的用户数据。据悉这些泄露的Twitter数据已经达到千万级,其中包括使用相同 API 错误收集的个人电话号码,以及公共信息,包括已验证状态、账户名、Twitter ID、个人简介和屏幕名称。

Loder 最早在Twitter上发布了上述更大数据泄露的消息,发帖后不久他就被停职。Loder随后在Mastodon上发布了这个更大规模数据泄露的编辑样本 。

“我刚刚收到证据表明,大规模的 Twitter 数据泄露事件影响了欧盟和美国的数百万 Twitter 账户。我联系了受影响账户的样本,他们确认泄露的数据是准确的。这次泄露事件发生时间不早于 2021 年。”

Loder 最早在Twitter上发布更大数据泄露的消息

Loder分享更大漏洞的消息

有安全专家通过这个未知的数据库的样本文件,对其中信息的真实性进行了核实。结果发现,包括电话号码在内的信息全部都真实有效,这也从侧面证明了此次千万级数据泄露是真实存在的。

此外,这些用于核实的信息都没有出现在 8 月份出售的原始数据中,这说明 Twitter 的数据泄露比之前披露的要严重得多,而且攻击者之间流传着大量的用户数据。

安全专家Pompompurin表示,目前不知道是谁创建了这个新发现的数据转储,表明其他人正在利用这个 API 漏洞。这个新发现的数据转储由许多按国家和地区代码分解的文件组成,包括欧洲、以色列和美国。

有消息称这个泄露的数据库存储的信息量有可能达到2千万条,其泄漏量之大令人震惊,因此Twitter用户应提高警惕,仔细检查任何声称来自Twitter的电子邮件,避免陷入网络钓鱼攻击的陷阱之中。

来源:网络






相关推荐:

西工大遭钓鱼邮件:初判为境外黑客网络攻击
面对勒索软件攻击 传统数据安全工具失败率高达60%
钓鱼攻击防不胜防,该如何预防网络钓鱼攻击?
疫情期间,德国政府或因网络钓鱼攻击损失数千万欧元
BEC诈骗已盗取430亿美元,企业该如何应对电子邮件入侵攻击

上一篇:11月14日-11月20日网络安全信息与动态周报 下一篇:泄漏超5亿用户信息 Meta被爱尔兰监管机构罚款2.65亿欧
产品服务
域名管理
云解析
DDI
IPv6改造
SSL证书
云盾
WHOIS查询
会员中心
产品管理
域名自助管理平台
子账号平台
云解析管理平台
帮助与支持
价格总览
联系我们
投诉建议
充值付费
帮助中心
网站地图
关于国科云
公司介绍
认证资质
公司动态
合作加盟
关注我们
微信公众号
友情链接:
中国科学院 中国互联网信息中心 中国科学院控股有限公司 北京中科院软件中心有限公司 中国科学院计算机网络信息中心
信息公示:
工业和信息化部域名行业管理信息公示
Copyright@2019 国科云 (guokeyun.com)版权所有 京公网安备11010802027642号     京ICP证030615号
产品服务
域名管理 云解析 IPv6改造 SSL证书 云盾 WHOIS查询
关于国科云
公司介绍 认证资质 公司动态 合作加盟 联系我们 投诉建议 网站地图
友情链接
中国互联网信息中心 北京中科院软件中心有限公司
信息公示
工业和信息化部域名行业管理信息公示

Copyright@2019 国科云 (guokeyun.com)版权所有

京公网安备11010802027642号     京ICP证030615号