上个月,有黑客以30000美元出售最大社交媒体平台之一推特Twitter的540万个账户的数据。推特在对此事进行调查后,于8月5日发布公告证实,这些账户信息是利用其一个现已修复的漏洞获取的。
这个漏洞于2022年1月由zhirinovskiy通过漏洞赏金平台HackerOne提交,推特获悉后立即进行调查并修复了该漏洞,并且奖励了zhirinovskiy 5040美元的赏金。
由于该漏洞的存在,任何人通过向Twitter系统提交电子邮件地址或电话号码,就能够验证其是否与Twitter帐户关联,并检索相关联的帐户ID。然后,攻击者会进一步使用此ID抓取该帐户的公共信息。
漏洞提交者zhirinovskiy在提交该漏洞时评价道:
“这是一个严重的威胁,因为人们不仅可以找到那些本已经设置了电子邮件/电话号码无法发现的用户,而且任何具备脚本/编码基础知识的攻击者都可以枚举Twitter用户群的很大一部分,这些用户群之前是无法枚举的(创建一个包含电话/电子邮件关联用户名的数据库)。此类数据库可以出售给恶意方用于广告目的,或用于在各种恶意活动中标记名人。简而言之,这可能导致许多用户失去隐私。”
当时,推特表示没有证据表明有人利用了这个漏洞。2022年7月,推特在查看了黑客计划出售的数据的样本后,确认有不法分子在问题得到解决之前就已经利用了该漏洞。
该不法分子在黑客论坛上发的帖子现在仍然有效,数据售价30000美元,据悉已有两人购买。
有人下载了样本数据库进行验证和分析。发现这些数据包括来自世界各地的人,具有公开的个人资料信息以及与帐户关联的电子邮件或电话号码。经查实,所有样本都与现实世界的人相匹配。
编辑:左右里
资讯来源:twitter
转载请注明出处和本文链接
每日涨知识
模糊测试(Fuzzing)
一种通过向目标系统提供非预期的输入并监视异常结果来发现软件漏洞的方法。
﹀
﹀
﹀