这家社交媒体公司周五表示,去年 Twitter 软件中的一个漏洞使未确定数量的匿名账户所有者面临潜在的身份泄露风险,显然被恶意行为者利用。
它没有证实有报道称有 540 万用户的数据因此被在线出售,但表示全球用户都受到了影响。
这一违规行为尤其令人担忧,因为包括人权活动家在内的许多 Twitter 帐户所有者出于安全原因(包括害怕受到专制当局的迫害)而不会在其个人资料中披露其身份。
“这对许多使用假名 Twitter 账户的人来说是非常糟糕的,”美国海军学院数据安全专家 Jeff Kosseff 在推特上写道。
该公司表示,该漏洞允许某人在登录期间确定特定电话号码或电子邮件地址是否与现有 Twitter 帐户相关联,从而揭示帐户所有者。
Twitter表示不知道有多少用户可能受到影响,并强调没有泄露密码。
“我们可以确认影响是全球性的,”Twitter 发言人通过电子邮件表示。 “我们无法准确确定有多少账户受到影响或账户持有人的位置。”
Twitter 在周五的一篇博客文章中表示承认,此前数字隐私倡导组织 Restore Privacy 上个月发布了一份报告,详细说明了可能从该漏洞获得的数据如何在一个流行的黑客论坛上以 30,000 美元的价格出售。
一名安全研究人员在 1 月份发现了该漏洞,并通知了 Twitter,并据报道获得了 5,000 美元的奖金。 Twitter 表示,该漏洞在 2021 年 6 月的软件更新中引入,已立即得到修复。
推特表示,它从媒体报道中了解到黑客论坛上的数据出售,并“确认有不良行为者在问题得到解决之前利用了这个问题。”
它说它正在直接通知所有可以确认受到影响的帐户所有者。
该公司表示:“我们发布此更新是因为我们无法确认每个可能受到影响的帐户,并且特别注意可能成为国家或其他行为者目标的假名帐户的人。”
它建议寻求隐藏身份的用户不要在其 Twitter 帐户中添加公开的电话号码或电子邮件地址。
“如果你经营一个假名的推特账户,我们理解这样的事件可能带来的风险,并对发生这种情况深感遗憾,”它说。
此次违规事件曝光之际,Twitter 正与特斯拉首席执行官埃隆·马斯克 (Elon Musk) 就他试图退出之前以 440 亿美元收购总部位于旧金山的 Twitter 的提议进行法律斗争。
弗兰克·巴贾克
