Twitter 證實,最近泄露 540 萬個帳戶數據的數據泄露事件是由利用零日漏洞造成的。7月底,一名威脅參與者泄露了 540 萬個 Twitter 帳戶的數據,這些帳戶是透過利用Twitter 平台中現已修復的漏洞獲得的。
威脅行為者在流行的黑客論壇Breached Forums 上出售被盜數據。早在一月份,Hacker 上釋出的一份報告聲稱發現了一個漏洞,攻擊者可以利用該漏洞透過相關的電話號碼/電子信件找到 Twitter 帳戶,即使使用者已選擇在私密選項中阻止這種情況。
「該漏洞允許任何未經任何身份驗證的一方 透過送出電話號碼/電子信件來獲取任何使用者的Twitter ID(這幾乎等於獲取帳戶的使用者名稱),即使使用者已在私密設定中禁止此操作。由於Twitter 的 Android 客戶端中使用的授權過程,特別是在檢查 Twitter 賬戶重復的過程中,存在該錯誤。」zhirinovskiy 送出的報告中指出:「透過漏洞賞金平台HackerOne,這是一個嚴重的威脅,因為人們不僅可以找到限制透過電子信件/電話號碼找到能力的使用者,而且任何具有指令碼/編碼基本知識的攻擊者都可以列舉出大量無法使用的 Twitter 使用者群列舉之前(建立一個帶有電話/電子信件到使用者名稱連線的資料庫)。此類基地可以出售給惡意方用於廣告目的,或用於在不同的惡意活動中對名人進行攻擊。」
賣家聲稱該資料庫包含從名人到公司的使用者數據(即電子信件、電話號碼)。賣家還以csv 檔的形式分享了一份數據樣本。
在貼文釋出幾個小時後,Breach Forums 的所有者驗證了泄漏的真實性,並指出它是透過上述 HackerOne 報告中的漏洞提取的。
「我們下載了樣本資料庫進行驗證和分析。它包括來自世界各地的人,擁有公開的個人資料資訊以及與該帳戶一起使用的 Twitter 使用者的電子信件或電話號碼。」
賣家告訴RestorePrivacy,他要求為整個資料庫至少支付 30,000 美元。
現在Twitter 確認數據泄露是由 zhirinovskiy 透過漏洞賞金平台 HackerOne 送出的現已修補的零日漏洞造成的。
Twitter 確認了此漏洞的存在,並授予了zhirinovskiy 5,040美元的獎金。
「我們想讓你知道一個漏洞,該漏洞允許某人在登入流程中輸入電話號碼或電子信件地址,以試圖了解該資訊是否與現有的 Twitter 賬戶相關聯,如果是,哪個特定帳戶。」 Twitter 的公告。「在 2022 年 1 月,我們透過我們的漏洞賞金計劃收到了一份漏洞報告,該漏洞允許某人辨識與帳戶關聯的電子信件或電話號碼,或者,如果他們知道某人的電子信件或電話號碼,他們可以辨識他們的 Twitter 賬戶,如果存在的話,」這家社交媒體公司繼續說道。
「這個錯誤是由 2021 年 6 月我們的程式碼更新造成的。當我們了解到這一點時,我們立即進行了調查並修復了它。當時,我們沒有證據表明有人利用了這個漏洞。」
該公司正在通知受影響的使用者,它還補充說,它知道安全漏洞對那些使用假名Twitter 賬戶以保護其私密的使用者造成的風險。沒有泄露密碼,但鼓勵其使用者 使用身份驗證應用程式或硬體安全金鑰啟用 2 因素身份 驗證,以保護其帳戶免受未經授權的登入。
BleepingComputer報告說,兩個不同的威脅參與者以低於原始售價的價格購買了這些數據。這意味著威脅行為者將來可以使用這些數據來攻擊 Twitter 賬戶。
2022.08.05
2022.08.04
.08.03
註:本文由E安全編譯報道,轉載請聯系授權並註明來源。
