就在马斯克宣布裁撤整个安全部门之后，Twitter再次传来一个重磅消息，超过540万条用户数据已经在暗网公开，并且免费共享给所有人。此外，安全人员还披露了另外一个可能泄露的，规模更大的数据库，其中包含了上千万条Twitter数据。

这些数据包含了大多数的公共信息，包括包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL；以及较为私密的用户的电子邮件和电话号码等信息。一旦这些信息在暗网爆发开来，那么意味着数百万的Twitter用户将有可能面临潜在的网络钓鱼攻击。

数据泄露6个月后才修复漏洞

根据国外媒体报道，2022年8月5日，Twitter在其隐私中心发布声明，确认此前被曝出的540万个账户信息泄露事件确实存在。

Twitter表示，之所以直接发布这一声明，是因为无法确认每一个可能受到影响的账户，因此无法单独向账户发送信息泄露警告。“拥有匿名账户的人需要尤其注意，他们可能会被政府或其他人锁定目标。”Twitter在声明中强调。

被黑客利用的漏洞是Twitter 在2021年6月更新时引入的：如果有人向Twitter系统提交一个电子邮件地址或电话号码，Twitter系统会回复相关联的账户信息。

2022年1月1日，网络安全平台Hackerone用户zhirinovsky报告了这一漏洞，并在Twitter的漏洞奖励计划中获得5040美元的奖励。根据报告，该漏洞对拥有私人或匿名账户的用户构成了“严重威胁”，可能被用来“创建数据库”，或通过大数据分析出Twitter的用户画像。

得知此事后，Twitter立即进行了调查和修复。当时没有证据表明有人利用了这个漏洞，然而这已是漏洞被引入代码库的6个月之后。Twitter并未在隐私中心对此发表任何说明。

7月21日，媒体RestorePrivacy注意到一位新用户在黑客论坛上以3万美元出售Twitter数据库，称涉及540万用户，包括“从名人到公司”的用户数据。RestorePrivacy验证发现，受害者来自世界各地，这些被泄露的数据包括与Twitter账号绑定的电子邮件、电话号码、公开的个人资料信息，并可以与真实的人相匹配。

这已经不是Twitter第一次发生大规模数据泄露事件，2019年1月，Twitter披露了其修复的一个安全漏洞，而在此前四年多的时间里，该漏洞使得许多用户的私人推文被泄露。而此次数据泄露也是漏洞引起，并且经过长达六个月的时间才修复完成。

难怪马斯克一上任就裁掉了Twitter整个安全部门，作为全球大型社交平台之一，其安全能力属实无法令人满意。

数据泄露的远比想象中的多

但更糟糕的消息还在后面，免费共享540 万条用户数据的发布者称，这仅仅是Twitter数据泄露的一部分，他们还窃取了更多的用户数据。据悉这些泄露的Twitter数据已经达到千万级，其中包括使用相同 API 错误收集的个人电话号码，以及公共信息，包括已验证状态、帐户名、Twitter ID、个人简介和屏幕名称。

Loder 最早在Twitter上发布了上述更大数据泄露的消息，发帖后不久他就被停职。Loder随后在Mastodon上发布了这个更大规模数据泄露的编辑样本 。

Loder分享更大漏洞的消息

有安全专家通过这个未知的数据库的样本文件，对其中信息的真实性进行了核实。结果发现，包括电话号码在内的信息全部都真实有效，这也从侧面证明了此次千万级数据泄露是真实存在的。

此外，这些用于核实的信息都没有出现在 8 月份出售的原始数据中，这说明 Twitter 的数据泄露比之前披露的要严重得多，而且攻击者之间流传着大量的用户数据。

安全专家Pompompurin表示，目前不知道是谁创建了这个新发现的数据转储，表明其他人正在利用这个 API 漏洞。这个新发现的数据转储由许多按国家和地区代码分解的文件组成，包括欧洲、以色列和美国。

有消息称这个泄露的数据库存储的信息量有可能达到2千万条，其泄漏量之大令人震惊，因此Twitter用户应提高警惕，仔细检查任何声称来自Twitter的电子邮件，避免陷入网络钓鱼攻击的陷进之中。

来源：FreeBuf