超过 2 亿 Twitter 用户的用户名和电子邮件地址已被黑客发布到网上。
该漏洞可追溯到 2021 年的一个漏洞,是过去几年影响社交媒体网站的一系列网络安全崩溃中的最新一起。
根据安全研究人员的报告,这些凭据是根据 2021 年以来的一些早期 Twitter 漏洞汇编的。尽管该数据库不包含用户密码,但它仍然对受影响的人构成安全威胁。
“这是我见过的最重大的泄密事件之一,”以色列网络安全公司 Hudson Rock 的联合创始人 Alon Gal 在一篇描述LinkedIn上 的黑客攻击的帖子中说。“不幸的是,[它] 会导致大量黑客攻击、有针对性的网络钓鱼和人肉攻击。”
受违规影响的用户确切数量的估计各不相同,部分原因是这种大规模数据转储倾向于包含重复记录。BleepingComputer共享的数据库的屏幕截图显示,它包含许多文本文件,其中列出了电子邮件地址和链接的 Twitter 用户名,以及用户的真实姓名(如果他们与该网站共享)、他们的粉丝数量和帐户创建日期。BleepingComputer表示,它已经“确认了泄漏中列出的许多电子邮件地址的有效性”,并且该数据库在一个黑客论坛上以低至 2 美元的价格出售。
网络安全警报网站Have I Been Pwned的创建者特洛伊·亨特 (Troy Hunt) 也分析了此次违规并在 Twitter 上分享了他的结论:“发现了 211,524,284 个独特的电子邮件地址,看起来与描述的差不多。”
该漏洞现已添加到 Have I been Pwned 的系统中,这意味着任何人都可以访问该站点并输入他们的电子邮件地址以查看它是否包含在数据库中。
据《华盛顿邮报》报道,该数据库的起源似乎可以追溯到 2021 年,当时黑客在 Twitter 的安全系统中发现了一个漏洞。该漏洞允许恶意行为者自动进行帐户查找——大量输入电子邮件地址和电话号码以查看它们是否与 Twitter 帐户相关联。
推特于 2022 年 8 月披露了该漏洞,并表示在该漏洞被报告为漏洞赏金后,它已于当年 1 月修复了该漏洞。该公司当时声称“没有证据表明有人利用了该漏洞”,但网络安全专家已经在当年 7 月发现了出售 Twitter 凭证的数据库。这个包含 2 亿多个帐户的最新数据库似乎起源于这个存在多年的漏洞,Twitter 在大约七个月的时间里都没有注意到这个漏洞。
该漏洞只是影响 Twitter 的最新网络安全崩溃,Twitter 长期以来一直在努力保护其用户数据。该公司已经因违规行为受到欧盟的调查(根据 2022 年 7 月的首次报告),并且美国联邦贸易委员会正在调查类似的安全漏洞。去年 8 月,Twitter 的前安全主管 Peiter “Mudge” Zatko 成为该公司的举报人,向美国政府提出申诉,声称该公司在其网络安全防御方面掩盖了“严重缺陷”。
