540万推特用户被盗数据在网上泄露

©网络研究院

超过540万条包含非公开信息的推特用户记录在一个黑客论坛上被免费分享，这些记录是利用1月份修复的API漏洞窃取的。 

一名安全研究人员还披露了另一个大规模、潜在更重要的数百万条推特记录的数据转储，表明威胁行为者滥用这一漏洞的范围有多广。 

这些数据包括拼凑的公共信息，以及不打算公开的私人电话号码和电子邮件地址。

去年7月，一名威胁行动者开始在一个黑客论坛上以3万美元的价格出售超过540万推特用户的私人信息。 

虽然大部分数据包含公共信息，如推特IDs、姓名、登录名、位置和验证状态，但也包括私人信息，如电话号码和电子邮件地址。

这些数据是在2021年12月利用黑客漏洞赏金计划中披露的推特API漏洞收集的，该漏洞允许人们向API提交电话号码和电子邮件地址，以检索相关的推特ID。

使用这个ID，威胁参与者可以收集关于帐户的公共信息，创建一个包含私有和公共信息的用户记录，如下所示。

尚不清楚HackerOne的披露是否被泄露，但我们被告知多个威胁行为者正在利用该漏洞从推特窃取私人信息。 

在我们与推特分享了用户记录样本后，这家社交媒体公司证实，他们遭受了数据泄露，使用的是2022年1月修复的API漏洞。 

被攻破的黑客论坛的所有者Pompompurin本周末告诉我们，在另一个被称为“魔鬼”的威胁行为者与他们分享漏洞后，他们对利用漏洞和创建推特用户记录的大规模转储负责。 

除了540万条待售记录之外，还有另外140万条使用不同API收集的暂停用户推特个人资料，使包含私人信息的推特个人资料总数达到近700万条。Pompompurin说，这第二个数据转储没有出售，只在少数人之间私下分享。

今年9月，以及最近的11月24日，540万条推特记录在一个黑客论坛上被免费分享。

Pompompurin 已向我们证实，这与 8 月份出售的数据相同，包括 5,485,635 条 推特用户记录。

这些记录包含私人电子邮件地址或电话号码，以及公共收集的数据，包括帐户的推特的ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、朋友数量、收藏夹数量、状态数量和个人资料图像URL。

虽然威胁行为者免费发布了540万条记录，但据称利用同一漏洞创建了一个更大的数据转储。 

这个数据转储可能包含数千万条推特记录，包括使用相同的API漏洞收集的个人电话号码和公共信息，包括已验证的状态、帐户名、推特ID、简历和昵称。

这一更重大的数据泄露消息来自安全专家查德·洛德(Chad Loder)，他首先在推特上爆料，并在发布后不久被停职。

洛德随后在Mastodon上发布了这个更大的数据泄露的样本。“我刚刚收到了影响欧盟和美国数百万推特账户的大规模推特数据泄露的证据。我已经联系了受影响帐户的样本，他们确认被破坏的数据是准确的。这次入侵不会早于2021年，”洛德在推特上分享道。

我们获得了这个之前未知的推特数据转储的样本文件，其中包含法国用户的1,377,132个电话号码。

从那以后，我们已经向此次泄露事件中的众多用户确认了电话号码是有效的，证实了这次额外的数据泄露是真实的。 

此外，这些电话号码都没有出现在8月份出售的原始数据中，这表明推特的数据泄露比之前披露的要大得多，而且大量用户数据在威胁行为者之间传播。

Pompompurin也向我们证实，他们并不负责，也不知道是谁创建了这个新发现的数据转储，这表明还有其他人在利用这个API漏洞。 

我们了解到，这个新发现的数据转储由许多按国家和地区代码划分的文件组成，包括欧洲、以色列和美国。 

我们被告知，它包含超过1700万条记录，但无法独立证实这一点。

由于这些数据可能会被有针对性的网络钓鱼攻击用来获取登录凭据，因此仔细检查任何声称来自推特的电子邮件至关重要。

如果您收到一封电子邮件，声称您的帐户被暂停，存在登录问题，或者您即将失去您的验证状态，它会提示您登录到非推特域，忽略这些电子邮件并删除它们，因为它们可能是钓鱼企图。

原文始发于微信公众号（网络研究院）：540万推特用户被盗数据在网上泄露