據(jù)Bleeping Computer網(wǎng)站7月22日消息，近期，一攻擊者利用漏洞竊取了Twitter上540萬(wàn)個(gè)賬戶數(shù)據(jù)，并以30000美元的價(jià)格在黑客論壇上出售。

這位昵稱為“惡魔”（devil）的攻擊者在黑客論壇上展示了他所盜來(lái)的數(shù)據(jù)概覽，表示這些數(shù)據(jù)涵蓋了一些知名人士、公司機(jī)構(gòu)以及隨機(jī)的普通用戶的賬戶信息。

黑客在論壇發(fā)布的售賣貼

在與攻擊者的對(duì)話中，Bleeping Computer 被告知他們?cè)?2021 年 12 月使用漏洞收集了這些數(shù)據(jù)，該漏洞允許任何未經(jīng)任何身份驗(yàn)證的訪問(wèn)者通過(guò)提交電話號(hào)碼或電子郵件來(lái)獲取任何用戶的Twitter ID （這幾乎等于獲取帳戶的用戶名），即使用戶已在隱私設(shè)置中禁止此操作。這一漏洞已在今年1月13日得到了修復(fù)。

Twitter 目前尚未確認(rèn)這起數(shù)據(jù)泄露事件，并告訴 Bleeping Computer，他們正在調(diào)查這些說(shuō)法的真實(shí)性。但黑客分享給Bleeping Computer的一小部分賬戶數(shù)據(jù)（電子郵件地址和電話號(hào)碼）已得到驗(yàn)證是真實(shí)的，至于黑客宣稱的540萬(wàn)賬戶是否全部屬實(shí)，目前還無(wú)法判斷。此外，盡管出售的大部分?jǐn)?shù)據(jù)都是公開(kāi)的，比如電子郵件地址和電話號(hào)碼，但攻擊者可以利用這些數(shù)據(jù)發(fā)起有針對(duì)性的網(wǎng)絡(luò)釣魚攻擊。

為此，所有 Twitter 用戶在收到來(lái)自 Twitter 的電子郵件時(shí)都應(yīng)保持警惕，尤其是需要輸入登錄憑證時(shí)，確保是在 Twitter.com 的官方地址中完成，而不是其他未知的第三方鏈接。