黑客在黑客论坛上以30,000美元的价格出售540万个Twitter帐户数据。绰号“魔鬼”的攻击者在某黑客论坛上展示了他被盗数据的概况,称这些数据涵盖了一些知名人士、企业机构和随机普通用户的账户信息。在与攻击者的对话中,BleepingComputer获悉他们在2021年12月使用一个漏洞收集了这些数据,该漏洞允许任何访问者在没有任何身份验证的情况下提交电话号码或电子邮件Mail以获取任何用户的TwitterID(这与获取帐户的用户名),即使用户已在其隐私设置中禁用此功能。该漏洞已于今年1月13日修复。Twitter尚未确认数据泄露事件,并告诉BleepingComputer他们正在调查索赔的真实性。但黑客与BleepingComputer共享的一小部分账户数据(电子邮件地址和电话号码)已被证实是真实的,现在判断黑客声称的540万个账户是否全部都是真实的还为时过早。此外,尽管出售的大部分数据都是公开的,例如电子邮件地址和电话号码,但攻击者可以使用这些数据发起有针对性的网络钓鱼攻击。出于这个原因,所有Twitter用户在收到来自Twitter的电子邮件时都应该保持警惕,尤其是当他们被要求输入他们的登录凭据时,确保他们是在官方Twitter.com地址而不是其他未知的第三方链接上完成的。
