通过API漏洞窃取的超过700万推特用户数据在互联网上传播。事件分析2022年7月,一名攻击者在某黑客论坛上以3万美元的价格出售了超过540万条Twitter用户信息。经查,该信息是在2021年12月利用TwitterAPI漏洞(提交给HackerOne)窃取的。攻击者可以利用该漏洞通过手机号和邮箱提取相关TwitterID。被盗数据包括推文。唯一ID、姓名、登录名、位置、验证状态等公开信息,以及用户手机号码、邮箱地址等非公开个人隐私信息。目前尚不清楚该漏洞的泄露者是否为HackerOne,但安全研究人员表示,已有多名黑客利用该漏洞窃取了Twitter的用户隐私信息。推特已于2022年1月修复该漏洞。此外,还有140万条推特用户个人资料数据被另一个API爬取出售,总共约700万条包含个人隐私信息的推特个人资料信息被泄露。2022年11月23日,一名黑客在黑客论坛上发帖称,他可以免费下载这540万推特用户的数据。安全研究员Pompompurin确认数据与7月份出售的Twitter用户数据一致,包含5,485,635条Twitter用户记录,包括用户Twitter账号ID、姓名、验证状态、位置、URL、描述、关注人数、账号创建日期、人数好友数量、状态数量、个人资料图片URL。更大规模的数据泄露黑客无偿泄露了540亿条推特用户数据,更令人担忧的是,一些黑客声称利用该漏洞窃取了更大规模的用户数据。其中可能包含数千万条推特用户记录,包括个人手机号码、验证状态、账号名称、推特ID、个人资料等信息。安全专家查德·洛德(ChadLoder)表示,他有确凿证据证实大规模数据泄露事件影响了美国和欧洲数百万Twitter用户。ChadLoder联系了部分受影响的账户样本,确认泄露数据准确无误,数据泄露日期在2021年之后。BleepingComputer获得了部分数据样本,其中包含1,377,132名法国用户的手机号码。经核实,发现手机号码泄露真实有效,所以其他数据泄露也应该是真实有效的。一位知情人士透露,超过1700万用户数据被泄露,但尚未得到证实。安全研究人员表示,这些数据可用于有针对性的网络钓鱼攻击,以获取登录凭据,因此请提防声称来自Twitter的传入电子邮件。点击邮件中的链接后,输入登录凭证前,需要确认是否为推特域名。本文翻译自:https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/
