Twitter承认零日漏洞导致540万用户数据被盗,现已修复该漏洞位于将电子邮件地址和电话号码绑定到用户帐户的功能中,导致黑客获得包含540万用户的列表文件帐户。上个月,BleepingComputer了解到黑客表示他们可以利用社交媒体网站上的一个漏洞来创建一个包含540万个Twitter帐户配置文件的列表。此漏洞允许任何人提交电子邮件地址或电话号码,验证它是否与Twitter帐户关联,并检索关联的帐户ID。然后威胁行为者使用此ID获取帐户的公共信息。这使得攻击者可以在2021年12月创建540万Twitter用户的个人资料,包括经过验证的电话号码或电子邮件地址,并收集公共信息,例如关注者数量、屏幕名称、登录名、位置、个人资料图片URL和其他信息。BleepingComputer后来了解到,有两个不同的威胁行为者以低于原售价的价格购买了这些数据,未来可能会免费发布这些数据。今天,Twitter已确认威胁参与者在12月使用了他们在2022年1月报告并修复的相同漏洞,作为其HackerOne漏洞赏金计划的一部分。Twitter在今天的安全公告中披露:“2022年1月,我们通过漏洞赏金计划收到了一份漏洞报告,该漏洞可能允许某人识别与帐户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的Twitter帐户(如果存在)。”
