推特确认最近的用户数据泄露来自2021年的违规行为

admin 2022年12月19日13:48:34评论45 views字数 1188阅读3分57秒阅读模式

推特确认最近的用户数据泄露来自2021年的违规行为

©网络研究院

推特今天证实,最近数百万会员个人资料的泄露,包括私人电话号码和电子邮件地址,是由该公司在 2022 年 8 月披露的同一数据泄露事件造成的。

Twitter 表示,其事件响应团队分析了 2022 年 11 月泄露的用户数据,并确认这些数据是在 2022 年 1 月修复之前使用相同的漏洞收集的。

“2022 年 11 月,一些媒体报道称 Twitter 用户的数据据称在网上泄露,” 更新中写道。

推特确认最近的用户数据泄露来自2021年的违规行为

“我们一得知这一消息,推特的事件响应团队就将新报告中的数据与媒体在 2022 年 7 月 21 日报道的数据进行了比较。比较确定,这两种情况下暴露的数据是相同的。” - 推特。

2022 年 1 月,Twitter 通过其漏洞赏金计划收到一份报告,称 API 漏洞允许攻击者提供电子邮件地址或电话号码,并为注册帐户获取关联的 Twitter ID。

由于成员的电话号码和电子邮件地址不应该公开,这可能会给希望匿名发帖的 Twitter 用户带来重大的隐私风险。

到 Twitter 修复该问题时,威胁行为者已经利用 API 漏洞输入数百万个电子邮件地址和电话号码,创建了 540 万个包含公共和非公共数据的用户配置文件。

这些被抓取的数据随后 于 2022 年 7 月在黑客论坛上以 30,000 美元的价格出售 ,据称有两个人以低于原始要价的价格购买了它。

推特确认最近的用户数据泄露来自2021年的违规行为

黑客论坛上出售的推特数据

在 2022 年 9 月和 2022 年 11 月,一个威胁行为者发布了一个 JSON 文件,其中包含 2021 年收集的 540 万条完整记录集,该文件在此之前在少数威胁行为者之间私下传播。

大约在同一时间,一名研究人员还分享了另一组 Twitter 配置文件的样本,这些配置文件是使用最初 540 万用户泄露事件中未包含的漏洞抓取的。 

据称,该数据集要广泛得多,据报道包含使用相同 API 漏洞收集的 1700 万条记录。

虽然我们无法确认这个额外数据集的范围,但我们能够检查包含 140 万个以前未公开的法国 Twitter 帐户记录的数据集样本。 

使用此样本联系列出的 Twitter 用户并确认泄露的电话号码属于他们,从而确认此附加数据集是有效的。

不幸的是,虽然 Twitter 的最新更新表明上个月泄露的数据与之前披露的漏洞有关,但该公司尚未确认暴露用户的确切数量。

Twitter 建议用户启用双因素身份验证,使用身份验证器应用程序或硬件密钥来保护他们的帐户,并格外警惕与其 Twitter 帐户相关的传入电子邮件。

“我们还鼓励 Twitter 用户在通过电子邮件接收任何类型的通信时保持格外警惕,因为威胁行为者可能会利用泄露的信息来创建非常有效的网络钓鱼活动,”Twitter 警告说。

“警惕传达紧迫感的电子邮件和要求您提供私人信息的电子邮件,始终仔细检查电子邮件是否来自合法的 Twitter 来源。”

540万推特用户被盗数据在网上泄露

黑客利用推特漏洞暴露 540 万个账户

原文始发于微信公众号(网络研究院):推特确认最近的用户数据泄露来自2021年的违规行为

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月19日13:48:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   推特确认最近的用户数据泄露来自2021年的违规行为http://cn-sec.com/archives/1462908.html

发表评论

匿名网友 填写信息