Twitter 于 8 月 5 日宣布,它在其系统中发现了一个安全漏洞,该漏洞使威胁者能够了解电话号码或电子邮件地址是否与现有 Twitter 帐户相关联,此前据报道有 540 万个 Twitter 帐户受到威胁演员。
Twitter 在一份安全公告中表示,2022 年 1 月,它收到了一份关于漏洞的报告,该漏洞使人们能够向 Twitter 的系统提交电子邮件地址或电话号码,并了解与所提供数据相关联的任何现有 Twitter 帐户。
该报告是由一个名为“zhirinovskiy”的用户在漏洞协调和漏洞赏金平台 HackerOne 上提交的。 用户描述了漏洞问题以及如何利用它。 五天后,Twitter 承认了此事,并悬赏 zhirinovskiy 5,040 美元的报告奖金。
“这个错误是由 2021 年 6 月我们的代码更新造成的,”Twitter 在 8 月 5 日谈到安全漏洞时表示。 “当我们了解到这一点时,我们立即进行了调查并修复了它。 当时,我们没有证据表明有人利用了这个漏洞。”
公告继续说:“2022 年 7 月,我们通过新闻报道获悉,有人可能利用了这一点,并提出出售他们收集的信息。 在审查了可供出售的可用数据样本后,我们确认有不良行为者在问题得到解决之前就利用了这个问题。”
数字隐私组织 RestorePrivacy 在 7 月下旬报道称,一名使用化名“魔鬼”的人在一个名为“Breached Forums”的黑客论坛上表示,他们正在出售从大约 540 万 Twitter 用户那里收集的数据。 该人士表示,这些数据涉及名人、公司和其他人的 Twitter 账户。
Bleeping Computer 曾在 7 月份与该人士进行了交谈,该人士称他们在 2021 年 12 月利用漏洞收集数据。这些数据的售价为 30,000 美元,并且有感兴趣的买家。 目前尚不清楚数据是否已售出。
推特表示将“直接通知”已确认受到影响的推特账户所有者。
该公司表示:“我们发布此更新是因为我们无法确认每个可能受到影响的帐户,并且特别注意可能成为国家或其他行为者目标的假名帐户的人。”
Twitter 表示,使用假名账户(使用与真实姓名不同的账户)的人不应在其 Twitter 账户中添加公开的电话号码或电子邮件地址。
“虽然没有公开密码,但我们鼓励所有使用 Twitter 的人使用身份验证应用程序或硬件安全密钥启用 2 因素身份验证,以保护您的帐户免受未经授权的登录,”Twitter 补充道。
了解 纳闻 的更多信息
订阅后即可通过电子邮件收到最新文章。