通過API漏洞竊取的超700萬推特用戶數(shù)據(jù)在互聯(lián)網(wǎng)傳播。

事件分析

2022年7月，有攻擊者在黑客論壇以3萬美元的價格出售超過540萬的推特用戶信息。經(jīng)過調(diào)查，這些信息是利用2021年12月的一個推特API漏洞（提交到了HackerOne）竊取的，攻擊者利用該漏洞可以通過手機號和郵箱地址來提取相關(guān)的推特ID，竊取的數(shù)據(jù)包含推特ID、姓名、登錄名、位置、驗證狀態(tài)等公開信息，以及用戶手機號碼、郵件地址等非公開的個人隱私信息。

目前還不清楚漏洞的泄露是否是HackerOne，但有安全研究人員稱有多個黑客利用該漏洞從推特竊取用戶隱私信息。推特已于2022年1月修復(fù)了該漏洞。

此外，還有利用另外一個API爬取的140萬推特用戶個人簡介數(shù)據(jù)在出售，累計有約700萬包含個人隱私信息的推特個人簡介信息泄露。

2022年11月23日，有黑客在黑客論壇發(fā)帖稱可以免費下載這540萬推特用戶的數(shù)據(jù)。安全研究人員Pompompurin確認(rèn)該數(shù)據(jù)與7月出售的推特用戶數(shù)據(jù)是一致的，包含5485635條推特用戶記錄，包括用戶推特賬戶ID、姓名、驗證狀態(tài)、位置、URL、描述、關(guān)注者數(shù)量、賬戶創(chuàng)建日期、好友數(shù)、狀態(tài)數(shù)、個人簡介圖像URL。

更大規(guī)模數(shù)據(jù)泄露

黑客免費發(fā)布了540億推特用戶數(shù)據(jù)，更令人擔(dān)憂的是有黑客稱利用該漏洞竊取了更大規(guī)模的用戶數(shù)據(jù)。其中可能包含數(shù)千萬推特用戶記錄，包括個人手機號、驗證狀態(tài)、賬戶名、推特ID、個人簡介等信息。

安全專家Chad Loder稱獲得確切證據(jù)，確認(rèn)了影響數(shù)百萬美國和歐洲地區(qū)推特用戶的大規(guī)模數(shù)據(jù)泄露。Chad Loder與部分受影響的賬戶樣本聯(lián)系并確認(rèn)泄露的數(shù)據(jù)是準(zhǔn)確的，且數(shù)據(jù)泄露事件發(fā)生日期在2021年之后。

BleepingComputer獲得了部分?jǐn)?shù)據(jù)樣本，其中包含1,377,132法國用戶的手機號碼。通過確認(rèn)發(fā)現(xiàn)手機號碼泄露是真實有效的，因此其他數(shù)據(jù)泄露應(yīng)該也是真實有效的。

有知情人士透露有超過1700萬用戶數(shù)據(jù)泄露，但并未經(jīng)過驗證。

安全研究人員稱這些數(shù)據(jù)可能會被用于定向釣魚攻擊來獲取登錄憑證，因此用于需要注意收到的自稱來自推特的郵件。在點擊郵件中鏈接后和輸入登錄憑證前，需要確認(rèn)是否是推特的域名。

本文翻譯自：https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/