黑客3萬美元出售540萬推特賬號數(shù)據(jù)。

7月21日，有名為devil的黑客在暗網(wǎng)論壇以3萬美元的價格出售一個包含5485636個推特賬號的數(shù)據(jù)庫。Devil稱數(shù)據(jù)庫中包含各類用戶的賬號信息，包括名人、公司和隨機用戶。

出售數(shù)據(jù)的黑客Devil稱，數(shù)據(jù)是在2021年12月利用推特的一個安全漏洞收集的。目前售價是3萬美元，已經(jīng)有潛在買家與其進行接觸。

該漏洞應(yīng)該是2022年1月1日Restore Privacy通過HackerOne向推特提交的漏洞，該漏洞允許任何第三方在沒有經(jīng)過認證的情況下，只需要提交一個手機號碼或郵箱就可以獲取手機號碼或郵箱對應(yīng)的推特ID（相對于推特賬戶的用戶名）。而根據(jù)隱私設(shè)置，這一操作是不允許的。該漏洞存在于推特安卓客戶端使用的授權(quán)機制中，具體來說就是檢查推特賬戶是否重復(fù)的過程中。

但Devil稱其從未使用過HackerOne。其嘗試提交郵箱地址和手機號以確定是否關(guān)聯(lián)推特賬戶時，獲得了該賬戶的ID。通過賬戶ID，其抓取了其余公開數(shù)據(jù)來創(chuàng)建該用戶的個人介紹信息。

該漏洞與2021年黑客爬取Facebook 5.33億用戶數(shù)據(jù)非常類似，推特已于2022年1月13日修復(fù)。截止目前，推特尚未確認此次數(shù)據(jù)泄露事件。推特稱正在調(diào)查事件的真實性。檢查最新的數(shù)據(jù)來驗證所謂數(shù)據(jù)泄露事件的真實性，并確保問題賬戶的安全性。

BleepingComputer通過黑客分享的少量樣本數(shù)據(jù)成功驗證了推特用戶，至少證明了樣本數(shù)據(jù)中的隱私信息（郵箱地址和手機號碼）是正確的。

雖然出售的數(shù)據(jù)大多是公開的，但攻擊者利用其中的郵箱地址和手機號碼可以發(fā)起定向釣魚攻擊。因此建議所有推特用戶在收到來自推特的郵件時要非常注意，小心釣魚郵件，尤其是要求輸入登錄憑證時要確認域名是Twitter.com。

本文翻譯自：https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/如若轉(zhuǎn)載，請注明原文地址。