就在馬斯克宣布裁撤整個安全部門之后，Twitter再次傳來一個重磅消息，超過540萬條用戶數(shù)據(jù)已經(jīng)在暗網(wǎng)公開，并且免費共享給所有人。此外，安全人員還披露了另外一個可能泄露的，規(guī)模更大的數(shù)據(jù)庫，其中包含了上千萬條Twitter數(shù)據(jù)。

這些數(shù)據(jù)包含了大多數(shù)的公共信息，包括包括帳戶的 Twitter ID、名稱、屏幕名稱、已驗證狀態(tài)、位置、URL、描述、關注者數(shù)量、帳戶創(chuàng)建日期、好友數(shù)量、收藏夾數(shù)量、狀態(tài)計數(shù)和個人資料圖像 URL；以及較為私密的用戶的電子郵件和電話號碼等信息。一旦這些信息在暗網(wǎng)爆發(fā)開來，那么意味著數(shù)百萬的Twitter用戶將有可能面臨潛在的網(wǎng)絡釣魚攻擊。

數(shù)據(jù)泄露6個月后才修復漏洞

根據(jù)國外媒體報道，2022年8月5日，Twitter在其隱私中心發(fā)布聲明，確認此前被曝出的540萬個賬戶信息泄露事件確實存在。

據(jù)了解，黑客利用漏洞創(chuàng)建了一個包含540萬個Twitter賬戶的數(shù)據(jù)庫，知道某人的電子郵件地址或電話號碼就可能可以查到相關的Twitter賬戶，以及公開的個人資料信息。

Twitter表示，之所以直接發(fā)布這一聲明，是因為無法確認每一個可能受到影響的賬戶，因此無法單獨向賬戶發(fā)送信息泄露警告?！皳碛心涿~戶的人需要尤其注意，他們可能會被政府或其他人鎖定目標?！盩witter在聲明中強調(diào)。

被黑客利用的漏洞是Twitter 在2021年6月更新時引入的：如果有人向Twitter系統(tǒng)提交一個電子郵件地址或電話號碼，Twitter系統(tǒng)會回復相關聯(lián)的賬戶信息。

2022年1月1日，網(wǎng)絡安全平臺Hackerone用戶zhirinovsky報告了這一漏洞，并在Twitter的漏洞獎勵計劃中獲得5040美元的獎勵。根據(jù)報告，該漏洞對擁有私人或匿名賬戶的用戶構成了“嚴重威脅”，可能被用來“創(chuàng)建數(shù)據(jù)庫”，或通過大數(shù)據(jù)分析出Twitter的用戶畫像。

得知此事后，Twitter立即進行了調(diào)查和修復。當時沒有證據(jù)表明有人利用了這個漏洞，然而這已是漏洞被引入代碼庫的6個月之后。Twitter并未在隱私中心對此發(fā)表任何說明。

7月21日，媒體RestorePrivacy注意到一位新用戶在黑客論壇上以3萬美元出售Twitter數(shù)據(jù)庫，稱涉及540萬用戶，包括“從名人到公司”的用戶數(shù)據(jù)。RestorePrivacy驗證發(fā)現(xiàn)，受害者來自世界各地，這些被泄露的數(shù)據(jù)包括與Twitter賬號綁定的電子郵件、電話號碼、公開的個人資料信息，并可以與真實的人相匹配。

這已經(jīng)不是Twitter第一次發(fā)生大規(guī)模數(shù)據(jù)泄露事件，2019年1月，Twitter披露了其修復的一個安全漏洞，而在此前四年多的時間里，該漏洞使得許多用戶的私人推文被泄露。而此次數(shù)據(jù)泄露也是漏洞引起，并且經(jīng)過長達六個月的時間才修復完成。

難怪馬斯克一上任就裁掉了Twitter整個安全部門，作為全球大型社交平臺之一，其安全能力屬實無法令人滿意。

數(shù)據(jù)泄露的遠比想象中的多

如今，540萬條用戶數(shù)據(jù)已經(jīng)在暗網(wǎng)上免費共享，給無數(shù)Twitter用戶帶來了巨大的安全風險。

但更糟糕的消息還在后面，免費共享540 萬條用戶數(shù)據(jù)的發(fā)布者稱，這僅僅是Twitter數(shù)據(jù)泄露的一部分，他們還竊取了更多的用戶數(shù)據(jù)。據(jù)悉這些泄露的Twitter數(shù)據(jù)已經(jīng)達到千萬級，其中包括使用相同 API 錯誤收集的個人電話號碼，以及公共信息，包括已驗證狀態(tài)、帳戶名、Twitter ID、個人簡介和屏幕名稱。

Loder 最早在Twitter上發(fā)布了上述更大數(shù)據(jù)泄露的消息，發(fā)帖后不久他就被停職。Loder隨后在Mastodon上發(fā)布了這個更大規(guī)模數(shù)據(jù)泄露的編輯樣本 。

“我剛剛收到證據(jù)表明，大規(guī)模的 Twitter 數(shù)據(jù)泄露事件影響了歐盟和美國的數(shù)百萬 Twitter 賬戶。我聯(lián)系了受影響賬戶的樣本，他們確認泄露的數(shù)據(jù)是準確的。這次泄露事件發(fā)生時間不早于 2021 年?！?/p>

Loder分享更大漏洞的消息

有安全專家通過這個未知的數(shù)據(jù)庫的樣本文件，對其中信息的真實性進行了核實。結果發(fā)現(xiàn)，包括電話號碼在內(nèi)的信息全部都真實有效，這也從側面證明了此次千萬級數(shù)據(jù)泄露是真實存在的。

此外，這些用于核實的信息都沒有出現(xiàn)在 8 月份出售的原始數(shù)據(jù)中，這說明 Twitter 的數(shù)據(jù)泄露比之前披露的要嚴重得多，而且攻擊者之間流傳著大量的用戶數(shù)據(jù)。

安全專家Pompompurin表示，目前不知道是誰創(chuàng)建了這個新發(fā)現(xiàn)的數(shù)據(jù)轉(zhuǎn)儲，表明其他人正在利用這個 API 漏洞。這個新發(fā)現(xiàn)的數(shù)據(jù)轉(zhuǎn)儲由許多按國家和地區(qū)代碼分解的文件組成，包括歐洲、以色列和美國。

有消息稱這個泄露的數(shù)據(jù)庫存儲的信息量有可能達到2千萬條，其泄漏量之大令人震驚，因此Twitter用戶應提高警惕，仔細檢查任何聲稱來自Twitter的電子郵件，避免陷入網(wǎng)絡釣魚攻擊的陷進之中。