8月5日，Twitter在其个人隐私服务中心正式发布新闻稿，证实在此之前被爆出的540亿个帐户重要信息外泄该事件确实存在。据了解，骇客借助恶意软件建立了两个包含540亿个Twitter帐户的资料库，知道其他人的邮件地址或电话号码就可能将能查到相关的Twitter帐户，以及申明的facai重要信息。

Twitter表示，之所以直接正式发布这一新闻稿，是因为难以证实每两个可能将受到影响的帐户，因此难以原则上向帐户发送重要信息外泄警示。“保有非官方帐户

被骇客借助的恶意软件是Twitter 在2021年6月预览时导入的：如果没人向Twitter控制系统递交两个邮件地址或电话号码，Twitter控制系统会申明密切相关的帐户重要信息。

2022年1月1日，信息安全平台Hackerone使用者zhirinovsky调查报告了这一恶意软件，并在Twitter的恶意软件奖赏计划中获得5040美元的奖赏。根据调查报告，该恶意软件对保有商业机构或非官方帐户的使用者构成了“威胁”，可能将被用来“建立资料库”，或透过大统计数据挖掘出Twitter的使用者肖像。

获知此事后，Twitter立即进行了调查和复原。当时没有确凿证据表明没人利用了这个恶意软件，然而这已是恶意软件被导入标识符库的6个月之后。Twitter并未在个人隐私服务中心对此刊登任何说明。

7月21日，媒体RestorePrivacy注意到一位新使用者在骇客论坛上用3亿美元出售Twitter资料库，称涉及540万使用者，主要包括“从名流到公司”的使用者统计数据。RestorePrivacy校正发现，被害者来自全世界，这些被外泄的统计数据主要包括与Twitter帐号存取的邮件、号码、申明的facai信息，并能与真实的人相适应。

在此之前，Twitter曾要求使用者提供号码和邮件地址以建立双不利因素证书，却私自将其用于或非电视广告，并在今年5月同意支付1.5亿美元与联邦贸易委员会（FTC）达成一致庭外和解。在8月5日刊登的新闻稿中，Twitter鼓励使用者透过其他双不利因素证书的方式登入，如使用证书插件或GStreamer公钥等。它还建议非官方使用者不要在帐户中加进申明的号码或邮件地址，以尽量将暗藏身分。

这并非Twitter首次发生统计数据外泄该事件。

2019年1月，Twitter披露了其复原的两个安全恶意软件，而在在此之前四年多的时间里，该恶意软件使得许多使用者的商业机构贴文被外泄。2019年12月， Twitter在Android应用上的一个恶意软件使骇客将 1700 亿个号码与 Twitter 的使用者帐号相适应。2020年 12月，因Twitter在此统计数据外泄该事件中未能及时通知和充分记录违法行为，苏格兰统计网络管理委员会（DPC）对其送出了45万英镑的传票。

校对/综合：通讯员程雨祺 南都记者蒋琳