骇客3亿美元转卖540万twitter帐号统计数据。
7月21日,有名叫devil的骇客在WhatsApp高峰论坛以3亿美元的价格转卖两个包涵5485636个twitter帐号的统计资料库。Devil称统计资料库中包涵各种类型采用者的帐号重要信息,包括名流、公司和乱数采用者。
该安全漏洞应该是2022年1月1日Restore Privacy透过HackerOne向twitter递交的安全漏洞,该安全漏洞容许任何服务器端在没有经过证书的情况下,只需要递交两个联系方式或电子邮箱就能以获取手机号码或电子邮箱相关联的twitterID(相对于twitter帐户的采用者名)。而根据对个人隐私增设,这一操作方式是不容许的。该安全漏洞存在于twitterAndroid应用程序采用的许可监督机制中,简而言之就是检查和twitter帐户与否多次重复的过程中。
但Devil称其未曾采用过HackerOne。其试著递交电子邮箱和电话号码以确认与否关连twitter帐户时,获得了该帐户的ID。透过帐户ID,其截取了余下申明统计数据来建立该采用者的对个人如是说重要信息。
该安全漏洞与2021年骇客banlistFacebook 5.33亿采用者统计数据十分类似于,twitter已于2022年1月13日复原。止目前,twitter仍未证实本次统计数据外泄该事件。twitter称正在进行调查该事件的准确性。检查和新一代的统计数据来校正简而言之统计数据外泄该事件的准确性,并保证问题帐户的可靠性。
BleepingComputer透过骇客撷取的小量样本统计数据获得成功校正了twitter采用者,最少证明了样本统计数据中的对个人隐私重要信息(电子邮箱和联系方式)是恰当的。
虽然转卖的统计数据多半是申明的,但普通用户利用其中的电子邮箱和电话号码码能发动或非钓反击。因此建议所有twitter采用者在接到源自twitter的电子邮件时要十分特别注意,留神钓电子邮件,特别是要求输出登入凭据时要证实搜索引擎是Twitter.com。
参照及来源:https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/