2022年初发现的一个Twitter安全漏洞被用来盗取540万用户的账户信息,黑客正在提供这套资料进行销售。与2021年8月受影响的4.78亿T-Mobile用户相比,540万用户的黑客攻击相比算是很小的。与同月晚些时候受影响的ATT的7000万用户相比也不算大。
然而,现在出售的黑客数据来自2022年1月报告的一个漏洞。Twitter承认这是一个现实存在安全问题,并向发现者"zhirinovskiy"支付了5040美元的赏金。
正如HackerOne用户zhirinovskiy在1月的最初报告中所描述的那样,一个威胁者现在正在出售据称从这个漏洞中获得的数据,Restore Privacy的Sven Taylor说。"该帖子现在仍在叫卖,据称由540万用户组成的Twitter数据库正在出售。"
黑客论坛上的卖家的用户名是'魔鬼',并声称该数据集包括'名人、公司等重要账号的数据。"我们联系了这个数据库的卖家,以收集更多信息,"Taylor说。"卖家为这个数据库至少要价3万美元,据卖家说,由于'Twitter的无能',这个数据库现在可以使用了。"
卖家在网站Breach Forums上发布了关于这些数据的信息。该论坛的所有者已经核实了该泄漏的真实性。
在Breach Forums的帖子中,有一个可用数据的样本。它似乎显示了可公开获得的Twitter个人资料信息,以及用于登录的电话号码和/或电子邮件地址,但它似乎并不包括密码。虽然它确实包含可用于Twitter"忘记密码"功能的电子邮件地址,但不良行为者必须单独获得该电子邮件账户的登录密码。
因此,人们担心的不是用户账户会被坏人破坏,而是这些数据可能被卖给广告商利用。
Twitter还没有发表评论。
(举报)
