?Twitter 承認(rèn)近期曝光的用戶數(shù)據(jù)泄露事件，是黑客利用一個(gè)零日漏洞來實(shí)現(xiàn)的，目前該漏洞已經(jīng)修復(fù)。該漏洞存在于將電子郵件地址和電話號(hào)碼綁定用戶帳戶的這項(xiàng)功能中，導(dǎo)致黑客獲取了一份包含 540 萬用戶賬戶的列表文件。

上個(gè)月 BleepingComputer 獲悉，有黑客表示他們可以利用社交媒體網(wǎng)站上的一個(gè)漏洞，創(chuàng)建一個(gè)包含 540 萬個(gè) Twitter 帳戶配置文件的列表。

此漏洞允許任何人提交電子郵件地址或電話號(hào)碼，驗(yàn)證它是否與 Twitter 帳戶關(guān)聯(lián)，并檢索關(guān)聯(lián)的帳戶 ID。然后，威脅參與者使用此 ID 來抓取該帳戶的公共信息。

這使得攻擊者能夠在 2021 年 12 月創(chuàng)建 540 萬 Twitter 用戶的個(gè)人資料，包括經(jīng)過驗(yàn)證的電話號(hào)碼或電子郵件地址，并抓取公共信息，例如關(guān)注者數(shù)量、屏幕名稱、登錄名、位置、個(gè)人資料圖片 URL 和其他信息。

BleepingComputer 后來了解到，兩個(gè)不同的威脅參與者以低于原始售價(jià)的價(jià)格購(gòu)買了這些數(shù)據(jù)，并且這些數(shù)據(jù)可能會(huì)在未來免費(fèi)發(fā)布。

今天，Twitter 已確認(rèn)威脅行為者在 12 月使用的漏洞與他們?cè)?2022 年 1 月報(bào)告并修復(fù)的漏洞相同，這是他們作為 HackerOne 漏洞賞金計(jì)劃的一部分。

Twitter 在今天的安全公告中披露：“在 2022 年 1 月，我們通過我們的漏洞賞金計(jì)劃收到了一份漏洞報(bào)告，該漏洞允許某人識(shí)別與帳戶關(guān)聯(lián)的電子郵件或電話號(hào)碼，或者，如果他們知道某人的電子郵件或電話號(hào)碼，他們可以識(shí)別他們的 Twitter 帳戶，如果存在的話”。