2022年初發(fā)現(xiàn)的一個Twitter安全漏洞被用來盜取540萬用戶的賬戶信息,黑客正在提供這套資料進(jìn)行銷售。與2021年8月受影響的4.78億T-Mobile用戶相比,540萬用戶的黑客攻擊相比算是很小的。與同月晚些時候受影響的ATT的7000萬用戶相比也不算大。
然而,現(xiàn)在出售的黑客數(shù)據(jù)來自2022年1月報告的一個漏洞。Twitter承認(rèn)這是一個現(xiàn)實存在安全問題,并向發(fā)現(xiàn)者"zhirinovskiy"支付了5040美元的賞金。
正如HackerOne用戶zhirinovskiy在1月的最初報告中所描述的那樣,一個威脅者現(xiàn)在正在出售據(jù)稱從這個漏洞中獲得的數(shù)據(jù),Restore Privacy的Sven Taylor說。"該帖子現(xiàn)在仍在叫賣,據(jù)稱由540萬用戶組成的Twitter數(shù)據(jù)庫正在出售。"
黑客論壇上的賣家的用戶名是'魔鬼',并聲稱該數(shù)據(jù)集包括'名人、公司等重要賬號的數(shù)據(jù)。"我們聯(lián)系了這個數(shù)據(jù)庫的賣家,以收集更多信息,"Taylor說。"賣家為這個數(shù)據(jù)庫至少要價3萬美元,據(jù)賣家說,由于'Twitter的無能',這個數(shù)據(jù)庫現(xiàn)在可以使用了。"
賣家在網(wǎng)站Breach Forums上發(fā)布了關(guān)于這些數(shù)據(jù)的信息。該論壇的所有者已經(jīng)核實了該泄漏的真實性。
在Breach Forums的帖子中,有一個可用數(shù)據(jù)的樣本。它似乎顯示了可公開獲得的Twitter個人資料信息,以及用于登錄的電話號碼和/或電子郵件地址,但它似乎并不包括密碼。雖然它確實包含可用于Twitter"忘記密碼"功能的電子郵件地址,但不良行為者必須單獨(dú)獲得該電子郵件賬戶的登錄密碼。
因此,人們擔(dān)心的不是用戶賬戶會被壞人破壞,而是這些數(shù)據(jù)可能被賣給廣告商利用。
Twitter還沒有發(fā)表評論。
(舉報)