8月5日,Twitter在其个人隐私服务中心正式发布新闻稿,证实在此之前被爆出的540亿个帐户重要信息外泄该事件确实存在。据了解,骇客借助恶意软件建立了两个包涵540亿个Twitter帐户的资料库,知道其他人的邮件地址或电话号码就可能将能查到相关的Twitter帐户,以及申明的facai重要信息。
Twitter表示,或许直接正式发布这一新闻稿,是因为难以证实每两个可能将受到影响的帐户,因此难以原则上向帐户发送重要信息外泄警示。“保有非官方帐户
被骇客借助的恶意软件是Twitter 在2021年6月预览时导入的:如果没人向Twitter控制系统递交两个邮件地址或电话号码,Twitter控制系统会申明密切相关的帐户重要信息。
2022年1月1日,信息安全平台Hackerone使用者zhirinovsky调查报告了这一恶意软件,并在Twitter的恶意软件奖赏计划中获得5040美元的奖赏。根据调查报告,该恶意软件对保有商业机构或非官方帐户的使用者构成了“威胁”,可能将被用来“建立资料库”,或透过大统计数据分析出Twitter的使用者肖像。
获知此事后,Twitter立即进行了调查和复原。当时没有确凿证据表明没人利用了这个恶意软件,然而这已是恶意软件被导入标识符库的6个月之后。Twitter并未在个人隐私服务中心对此刊登任何说明。
7月21日,媒体RestorePrivacy注意到一位新使用者在骇客论坛上用3亿美元出售Twitter资料库,称涉及540万使用者,主要包括“从名流到公司”的使用者统计数据。RestorePrivacy校正发现,被害者来自全世界,这些被外泄的统计数据主要包括与Twitter帐号存取的邮件、号码、申明的facai信息,并能与真实世界的人相适应。
在此之前,Twitter曾要求使用者提供号码和邮件地址以建立双不利因素证书,却私自将其用于或非电视广告,并在今年5月同意支付1.5亿美元与联邦贸易委员会(FTC)达成一致庭外和解。在8月5日刊登的新闻稿中,Twitter引导使用者透过其他双不利因素证书的方式登入,如使用证书插件或GStreamer公钥等。它还建议非官方使用者不要在帐户中加进申明的号码或邮件地址,以尽量将暗藏身分。
这并非Twitter首次发生统计数据外泄该事件。
2019年1月,Twitter披露了其复原的两个安全恶意软件,而在在此之前六年多的时间里,该恶意软件使得许多使用者的商业机构贴文被外泄。2019年12月, Twitter在Android应用上的一个恶意软件使骇客将 1700 亿个号码与 Twitter 的使用者帐号相适应。2020年 12月,因Twitter在此统计数据外泄该事件中未能及时通知和充分历史记录违法行为,苏格兰统计网络管理委员会(DPC)对其送出了45万英镑的传票。