Twitter 證實(shí)，最近泄露 540 萬(wàn)個(gè)賬戶數(shù)據(jù)的數(shù)據(jù)泄露事件是由利用零日漏洞造成的。7月底，一名威脅參與者泄露了 540 萬(wàn)個(gè) Twitter 賬戶的數(shù)據(jù)，這些賬戶是通過(guò)利用Twitter 平臺(tái)中現(xiàn)已修復(fù)的漏洞獲得的。

威脅行為者在流行的黑客論壇 Breached Forums 上出售被盜數(shù)據(jù)。早在一月份，Hacker 上發(fā)布的一份報(bào)告聲稱發(fā)現(xiàn)了一個(gè)漏洞，攻擊者可以利用該漏洞通過(guò)相關(guān)的電話號(hào)碼/電子郵件找到 Twitter 賬戶，即使用戶已選擇在隱私選項(xiàng)中阻止這種情況。

“該漏洞允許任何未經(jīng)任何身份驗(yàn)證的一方 通過(guò)提交電話號(hào)碼/電子郵件來(lái)獲取任何用戶的Twitter ID（這幾乎等于獲取賬戶的用戶名），即使用戶已在隱私設(shè)置中禁止此操作。由于 Twitter 的 Android 客戶端中使用的授權(quán)過(guò)程，特別是在檢查 Twitter 賬戶重復(fù)的過(guò)程中，存在該錯(cuò)誤?！眤hirinovskiy 提交的報(bào)告中指出：“通過(guò)漏洞賞金平臺(tái) HackerOne，這是一個(gè)嚴(yán)重的威脅，因?yàn)槿藗儾粌H可以找到限制通過(guò)電子郵件/電話號(hào)碼找到能力的用戶，而且任何具有腳本/編碼基本知識(shí)的攻擊者都可以列舉出大量無(wú)法使用的 Twitter 用戶群枚舉之前（創(chuàng)建一個(gè)帶有電話/電子郵件到用戶名連接的數(shù)據(jù)庫(kù)）。此類基地可以出售給惡意方用于廣告目的，或用于在不同的惡意活動(dòng)中對(duì)名人進(jìn)行攻擊?！?/p>

賣家聲稱該數(shù)據(jù)庫(kù)包含從名人到公司的用戶數(shù)據(jù)（即電子郵件、電話號(hào)碼）。賣家還以 csv 文件的形式分享了一份數(shù)據(jù)樣本。

在帖子發(fā)布幾個(gè)小時(shí)后，Breach Forums 的所有者驗(yàn)證了泄漏的真實(shí)性，并指出它是通過(guò)上述 HackerOne 報(bào)告中的漏洞提取的。

“我們下載了樣本數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證和分析。它包括來(lái)自世界各地的人，擁有公開的個(gè)人資料信息以及與該賬戶一起使用的 Twitter 用戶的電子郵件或電話號(hào)碼?！?/p>

賣家告訴 RestorePrivacy，他要求為整個(gè)數(shù)據(jù)庫(kù)至少支付 30,000 美元。

現(xiàn)在 Twitter 確認(rèn)數(shù)據(jù)泄露是由 zhirinovskiy 通過(guò)漏洞賞金平臺(tái) HackerOne 提交的現(xiàn)已修補(bǔ)的零日漏洞造成的。

Twitter 確認(rèn)了此漏洞的存在，并授予了 zhirinovskiy 5,040美元的獎(jiǎng)金。

“我們想讓你知道一個(gè)漏洞，該漏洞允許某人在登錄流程中輸入電話號(hào)碼或電子郵件地址，以試圖了解該信息是否與現(xiàn)有的 Twitter 賬戶相關(guān)聯(lián)，如果是，哪個(gè)特定賬戶?！?nbsp;Twitter 的公告?！霸?nbsp;2022 年 1 月，我們通過(guò)我們的漏洞賞金計(jì)劃收到了一份漏洞報(bào)告，該漏洞允許某人識(shí)別與賬戶關(guān)聯(lián)的電子郵件或電話號(hào)碼，或者，如果他們知道某人的電子郵件或電話號(hào)碼，他們可以識(shí)別他們的 Twitter 賬戶，如果存在的話，”這家社交媒體公司繼續(xù)說(shuō)道。

“這個(gè)錯(cuò)誤是由 2021 年 6 月我們的代碼更新造成的。當(dāng)我們了解到這一點(diǎn)時(shí)，我們立即進(jìn)行了調(diào)查并修復(fù)了它。當(dāng)時(shí)，我們沒(méi)有證據(jù)表明有人利用了這個(gè)漏洞?！?/p>

該公司正在通知受影響的用戶，它還補(bǔ)充說(shuō)，它知道安全漏洞對(duì)那些使用假名 Twitter 賬戶以保護(hù)其隱私的用戶造成的風(fēng)險(xiǎn)。沒(méi)有泄露密碼，但鼓勵(lì)其用戶 使用身份驗(yàn)證應(yīng)用程序或硬件安全密鑰啟用 2 因素身份 驗(yàn)證，以保護(hù)其賬戶免受未經(jīng)授權(quán)的登錄。

BleepingComputer報(bào)告說(shuō)，兩個(gè)不同的威脅參與者以低于原始售價(jià)的價(jià)格購(gòu)買了這些數(shù)據(jù)。這意味著威脅行為者將來(lái)可以使用這些數(shù)據(jù)來(lái)攻擊 Twitter 賬戶。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明