经过API破绽窃取的超700万推特用户数据在互联网传达。
事情剖析
2022年7月,有攻打者在黑客论坛以3万美元的多少钱发售超越540万的推特用户信息。经过考查,这些信息是应用2021年12月的一个推特API破绽(提交到了HackerOne)窃取的,攻打者应用该破绽可以经过手机号和邮箱地址来提取关系的推特ID,窃取的数据蕴含推特ID、姓名、登录名、位置、验证形态等地下信息,以及用户手机号码、邮件地址等非地下的团体隐衷信息。
目前还不分明破绽的暴露能否是HackerOne,但有安保钻研人员称有多个黑客应用该破绽从推特窃取用户隐衷信息。推特已于2022年1月修复了该破绽。
此外,还无应用另外一个API爬取的140万推特用户团体简介数据在发售,累计有约700万蕴含团体隐衷信息的推特团体简介信息暴露。
2022年11月23日,有黑客在黑客论坛发帖称可以收费下载这540万推特用户的数据。安保钻研人员Pompompurin确认该数据与7月发售的推特用户数据是分歧的,蕴含5485635条推特用户记载,包括用户推特账户ID、姓名、验证形态、位置、URL、形容、关注者数量、账户创立日期、朋友数、形态数、团体简介图像URL。
更大规模数据暴露
黑客收费颁布了540亿推特用户数据,更令人担心的是有黑客称应用该破绽窃取了更大规模的用户数据。其中或者蕴含数千万推特用户记载,包括团体手机号、验证形态、账户名、推特ID、团体简介等信息。
BleepingComputer取得了局部数据样本,其中蕴含1,377,132法国用户的手机号码。经过确认发现手机号码暴露是实在有效的,因此其余数据暴露应该也是实在有效的。
有知情人士走漏有超越1700万用户数据暴露,但并未经过验证。
安保钻研人员称这些数据或者会被用于定向钓鱼攻打来失掉登录凭证,因此用于须要留意收到的自称来自推特的邮件。在点击邮件中链接后和输入登录凭证前,须要确认能否是推特的域名。
本文翻译自: