就在馬斯克宣佈裁撤整個安全部門之後,Twitter再次傳來一個重磅訊息,超過540萬條使用者資料已經在暗網公開,並且免費共享給所有人。此外,安全人員還披露了另外一個可能洩露的,規模更大的資料庫,其中包含了上千萬條Twitter資料。
這些資料包含了大多數的公共資訊,包括賬戶的 Twitter ID、名稱、螢幕名稱、已驗證狀態、位置、URL、描述、關注者數量、賬戶建立日期、好友數量、收藏夾數量、狀態計數和個人資料影象 URL;以及較為私密的使用者的電子郵件和電話號碼等資訊。一旦這些資訊在暗網爆發開來,那麼意味著數百萬的Twitter使用者將有可能面臨潛在的網路釣魚攻擊。
資料洩露6個月後才修復漏洞
根據國外媒體報道,2022年8月5日,Twitter在其隱私中心釋出宣告,確認此前被曝出的540萬個賬戶資訊洩露事件確實存在。
據瞭解,駭客利用漏洞建立了一個包含540萬個Twitter賬戶的資料庫,知道某人的電子郵件地址或電話號碼就可能可以查到相關的Twitter賬戶,以及公開的個人資料資訊。
Twitter表示,之所以直接釋出這一宣告,是因為無法確認每一個可能受到影響的賬戶,因此無法單獨向賬戶傳送資訊洩露警告。“擁有匿名賬戶的人需要尤其注意,他們可能會被政府或其他人鎖定目標。”Twitter在宣告中強調。
被駭客利用的漏洞是Twitter 在2021年6月更新時引入的:如果有人向Twitter系統提交一個電子郵件地址或電話號碼,Twitter系統會恢復相關聯的賬戶資訊。
2022年1月1日,網路安全平臺Hackerone使用者zhirinovsky報告了這一漏洞,並在Twitter的漏洞獎勵計劃中獲得5040美元的獎勵。根據報告,該漏洞對擁有私人或匿名賬戶的使用者構成了“嚴重威脅”,可能被用來“建立資料庫”,或透過大資料分析出Twitter的使用者畫像。
得知此事後,Twitter立即進行了調查和修復。當時沒有證據表明有人利用了這個漏洞,然而這一是漏洞被引入程式碼庫的6個月之後。Twitter並未在隱私中心對此發表任何說明。
7月21日,媒體RestorePrivacy注意到一位新使用者在駭客論壇上以3萬美元出售Twitter資料庫,稱涉及540萬用戶,包括“從名人到公司”的使用者資料。RestorePrivacy驗證發現,受害者來自世界各地,這些被洩露的資料包括與Twitter賬號繫結的電子郵件、電話號碼、公開的個人資料資訊,並可以與真實的人相匹配。
這已經不是Twitter第一次發生大規模資料洩露事件,2019年1月,Twitter披露了其修復的一個安全漏洞,而在此前四年多的時間裡,該漏洞使得許多使用者的私人推文被洩露。而此次資料洩露也是漏洞引起,並且經過長達六個月的時間才修復完成。
難怪馬斯克一上任就裁掉了Twitter整個安全部門,作為全球大型社交平臺之一,其安全能力屬實無法令人滿意。
資料洩露的遠比想象中的多
如今,540萬條使用者資料已經在暗網上免費共享,給無數Twitter使用者帶來了巨大的安全風險。
但更糟糕的訊息還在後面,免費共享540 萬條使用者資料的釋出者稱,這僅僅是Twitter資料洩露的一部分,他們還竊取了更多的使用者資料。據悉這些洩露的Twitter資料已經達到千萬級,其中包括使用相同 API 錯誤收集的個人電話號碼,以及公共資訊,包括已驗證狀態、賬戶名、Twitter ID、個人簡介和螢幕名稱。
Loder 最早在Twitter上釋出了上述更大資料洩露的訊息,發帖後不久他就被停職。Loder隨後在Mastodon上釋出了這個更大規模資料洩露的編輯樣本 。
“我剛剛收到證據表明,大規模的 Twitter 資料洩露事件影響了歐盟和美國的數百萬 Twitter 賬戶。我聯絡了受影響賬戶的樣本,他們確認洩露的資料是準確的。這次洩露事件發生時間不早於 2021 年。”
Loder分享更大漏洞的訊息
有安全專家透過這個未知的資料庫的樣本檔案,對其中資訊的真實性進行了核實。結果發現,包括電話號碼在內的資訊全部都真實有效,這也從側面證明了此次千萬級資料洩露是真實存在的。
此外,這些用於核實的資訊都沒有出現在 8 月份出售的原始資料中,這說明 Twitter 的資料洩露比之前披露的要嚴重得多,而且攻擊者之間流傳著大量的使用者資料。
安全專家Pompompurin表示,目前不知道是誰建立了這個新發現的資料轉儲,表明其他人正在利用這個 API 漏洞。這個新發現的資料轉儲由許多按國家和地區程式碼分解的檔案組成,包括歐洲、以色列和美國。
有訊息稱這個洩露的資料庫儲存的資訊量有可能達到2千萬條,其洩漏量之大令人震驚,因此Twitter使用者應提高警惕,仔細檢查任何聲稱來自Twitter的電子郵件,避免陷入網路釣魚攻擊的陷阱之中。
