黑客以30,000美元的价格出售540万个Twitter帐户的数据。7月21日,一位名叫devil的黑客在暗网论坛上以30,000美元的价格出售了一个包含5,485,636个Twitter帐户的数据库。Devil声称该数据库包含各种用户的帐户信息,包括名人、公司和随机用户。出售数据的黑客Devil表示,这些数据是在2021年12月使用Twitter安全漏洞收集的。它目前以30,000美元的价格出售,并且已经有潜在买家接洽。该漏洞应该是RestorePrivacy于2022年1月1日通过HackerOne向推特提交的漏洞,该漏洞允许任何第三方在不经过身份验证的情况下获取手机号码或邮箱地址。相应的TwitterID(相对于Twitter帐户的用户名)。根据隐私设置,不允许进行此操作。该漏洞存在于TwitterAndroid客户端使用的授权机制中,特别是在检查重复Twitter帐户的过程中。但Devil说他从未使用过HackerOne。当它试图提交自己的电子邮件地址和手机号码以确定是否与推特账户关联时,它获得了该账户的ID。从帐户ID中,它抓取了其余的公共数据以创建该用户的个人资料。该漏洞与黑客在2021年爬取5.33亿Facebook用户数据非常相似,推特已于2022年1月13日修复。截至目前,推特尚未确认数据泄露事件。推特表示正在调查事件的真实性。查看最新数据,验证涉嫌数据泄露的真实性,确保问题账户的安全。BleepingComputer通过黑客分享的少量样本数据成功验证了Twitter用户,至少证明了样本数据中的私人信息(电子邮件地址和手机号码)是正确的。虽然大部分出售的数据都是公开的,但攻击者可以利用其中的电子邮件地址和手机号码发起有针对性的钓鱼攻击。因此,建议所有推特用户在收到来自推特的邮件时要格外小心,小心钓鱼邮件,尤其是在询问登录凭据时要确认域名是Twitter.com。本文翻译自:https://www.bleepingcomputer.com/news/security/hacker-selling-twitter-account-data-of-54-million-users-for-30k/如有转载请注明出处.
