Twitter证实，零日漏洞致540万账户数据泄露

Twitter 证实，最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底，一名威胁参与者泄露了 540 万个 Twitter 账户的数据，这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。

威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份，Hacker 上发布的一份报告声称发现了一个漏洞，攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户，即使用户已选择在隐私选项中阻止这种情况。

“该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID（这几乎等于获取账户的用户名），即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程，特别是在检查 Twitter 账户重复的过程中，存在该错误。”zhirinovskiy 提交的报告中指出：“通过漏洞赏金平台 HackerOne，这是一个严重的威胁，因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户，而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前（创建一个带有电话/电子邮件到用户名连接的数据库）。此类基地可以出售给恶意方用于广告目的，或用于在不同的恶意活动中对名人进行攻击。”

卖家声称该数据库包含从名人到公司的用户数据（即电子邮件、电话号码）。卖家还以 csv 文件的形式分享了一份数据样本。

在帖子发布几个小时后，Breach Forums 的所有者验证了泄漏的真实性，并指出它是通过上述 HackerOne 报告中的漏洞提取的。

“我们下载了样本数据库进行验证和分析。它包括来自世界各地的人，拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。”

卖家告诉 RestorePrivacy，他要求为整个数据库至少支付 30,000 美元。

现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。

Twitter 确认了此漏洞的存在，并授予了zhirinovskiy 5,040美元的奖金。

“我们想让你知道一个漏洞，该漏洞允许某人在登录流程中输入电话号码或电子邮件地址，以试图了解该信息是否与现有的 Twitter 账户相关联，如果是，哪个特定账户。” Twitter 的公告。“在 2022 年 1 月，我们通过我们的漏洞赏金计划收到了一份漏洞报告，该漏洞允许某人识别与账户关联的电子邮件或电话号码，或者，如果他们知道某人的电子邮件或电话号码，他们可以识别他们的 Twitter 账户，如果存在的话，”这家社交媒体公司继续说道。

“这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时，我们立即进行了调查并修复了它。当时，我们没有证据表明有人利用了这个漏洞。”

该公司正在通知受影响的用户，它还补充说，它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码，但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证，以保护其账户免受未经授权的登录。

BleepingComputer报告说，两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。

Twitter证实，零日漏洞致540万账户数据泄露