推特承认,零日漏洞致540万用户数据被盗

语言: CN / TW / HK

据Bleeping Computer网站消息,推特证实了近期发生的540万账户数据泄露是由0 Day漏洞导致。

上个月,Bleeping Computer曾与一名攻击者交谈,该攻击者透露了他们能够利用社交媒体网站上的一个漏洞,创建一个包含 540 万个推特帐户配置文件的列表。此漏洞允许任何人提交电子邮件地址或电话号码,验证它是否与推特帐户关联,并检索关联的帐户 ID,之后,攻击参与者使用此 ID 来抓取该帐户的账户信息,比如粉丝数量、登录名、所在位置、个人资料图片 URL 等信息。当时,攻击者以 30000 美元的价格出售这些数据。

上周五,推特正式确认攻击者在去年12 月使用的漏洞与他们在今年 1 月报告并修复的漏洞相同,该漏洞曾作为 HackerOne 漏洞赏金计划的一部分,并透露漏洞原因是去年6月的一次代码更新导致。

与此同时,推特也发出通知,提醒受影响的用户数据泄露是否暴露了他们的电话号码或电子邮件地址。此外,攻击者声称已经利用该漏洞收集了 5485636 名推特用户的数据,但推特表示无法确定受影响的确切人数。

虽然在这次违规行为中没有暴露密码,但推特鼓励用户在其帐户上启用双因素身份验证,以防止未经授权的登录作为安全措施,并建议不要在帐户上公开电话号码或电子邮件地址,尽可能地保持匿名身份。

BleepingComputer透露,由于已有两位攻击者购买了这些数据,用户需要警惕利用这些数据,发起对推特登录凭证的有针对性的鱼叉式网络钓鱼活动。

参考来源: https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/