通过API漏洞窃取的超700万推特用户数据在互联网传播。
事件分析
2022年7月,有攻击者在黑客论坛以3万美元的价格出售超过540万的推特用户信息。经过调查,这些信息是利用2021年12月的一个推特API漏洞(提交到了HackerOne)窃取的,攻击者利用该漏洞可以通过手机号和邮箱地址来提取相关的推特ID,窃取的数据包含推特ID、姓名、登录名、位置、验证状态等公开信息,以及用户手机号码、邮件地址等非公开的个人隐私信息。
目前还不清楚漏洞的泄露是否是HackerOne,但有安全研究人员称有多个黑客利用该漏洞从推特窃取用户隐私信息。推特已于2022年1月修复了该漏洞。
此外,还有利用另外一个API爬取的140万推特用户个人简介数据在出售,累计有约700万包含个人隐私信息的推特个人简介信息泄露。
2022年11月23日,有黑客在黑客论坛发帖称可以免费下载这540万推特用户的数据。安全研究人员Pompompurin确认该数据与7月出售的推特用户数据是一致的,包含5485635条推特用户记录,包括用户推特账户ID、姓名、验证状态、位置、URL、描述、关注者数量、账户创建日期、好友数、状态数、个人简介图像URL。
更大规模数据泄露
黑客免费发布了540亿推特用户数据,更令人担忧的是有黑客称利用该漏洞窃取了更大规模的用户数据。其中可能包含数千万推特用户记录,包括个人手机号、验证状态、账户名、推特ID、个人简介等信息。
安全专家Chad Loder称获得确切证据,确认了影响数百万美国和欧洲地区推特用户的大规模数据泄露。Chad Loder与部分受影响的账户样本联系并确认泄露的数据是准确的,且数据泄露事件发生日期在2021年之后。
BleepingComputer获得了部分数据样本,其中包含1,377,132法国用户的手机号码。通过确认发现手机号码泄露是真实有效的,因此其他数据泄露应该也是真实有效的。
有知情人士透露有超过1700万用户数据泄露,但并未经过验证。
安全研究人员称这些数据可能会被用于定向钓鱼攻击来获取登录凭证,因此用于需要注意收到的自称来自推特的邮件。在点击邮件中链接后和输入登录凭证前,需要确认是否是推特的域名。