TOP5 | 头条：黑客以2美元出售2亿Twitter用户个人资料

黑客出售2亿Twitter用户个人资料；

标签：Twitter，数据泄露

近日，有人在知名黑客论坛上发布了一个数据集，其中包含超过2亿 Twitter用户的个人资料。

自2022年7月22日以来，各种黑客论坛和黑市上就在肆意兜售关于Twitter用户的个人资料数据集。2021年8月，Twitter证实数据泄露是由Twitter API的漏洞引起的，安全研究员zhirinovskiy通过漏洞赏金平台HackerOne提交了这一零日漏洞，收到了5040美元赏金。该漏洞允许用户输入电子邮件地址和电话号码，以确认它们是否与Twitter ID相关联，黑客利用这一点对Twitter数据进行了爬取。

尽管Twitter已于2022年1月修复了这一漏洞，但自去年七月以来陆陆续续有许多黑客开始泄露他们一年前收集到的数据集。最初售卖的数据集包含540万Twitter用户，7月份时售价为30000美元，最终于2022年11月27日免费公布。另外同时私下还流传着一个据称包含1700万用户的数据集。前不久，一名黑客宣布出售一个利用Twitter漏洞收集的4亿用户数据集。而在今年1月4日，又有黑客在Breached论坛上发布了一个包含2亿 Twitter用户个人资料的数据集，售价为论坛的8个积分，约合2美元。

据悉，仅卖2美元的这个数据集与11月流传的4亿数据集相同，但已进行过清理，不包含重复项，将总数减少到约2.2亿行。该数据集以 RAR 文件发布，包含6个.txt文件，总大小为59 GB。该文档中的每一行表示一个Twitter用户及其个人数据（如电子邮件地址、姓名、关注数量和账户创建日期等）。

对于泄露的电子邮件地址，不法分子可能会使用其对受影响用户进行网络钓鱼攻击。而对于匿名发布推文的Twitter用户，在发生此数据泄露事件之后，其现实中的真实身份也有可能会因此暴露。

由于影响范围过广，所有Twitter用户都应该留意针对性的网络钓鱼诈骗，并尽量避免点击未知链接或下载未知文件。若Twitter用户电子邮件地址已暴露，则应审慎考虑是否需要创建并使用新的电子邮件地址。若是在其他平台使用了与Twitter帐户相同的密码，也应立即更改。另外，为保护自身信息与财产安全，在平时用户也应定期更改其关键账户的密码，并尽量使用复杂的密码。

信源：bleepingcomputer

中国研究人员报告能用现有量子计算机破解2048位RSA；

标签：中国，量子计算机，破解RSA

日前，清华和浙大等中国研究人员在预印本平台 arxiv 上发表论文，报告破解2048位RSA密钥所需的量子比特数可以大幅减少，现有的量子计算机就能做到。

研究人员称，Peter Shor 早在1990年代就发现用量子计算机进行大数的因式分解是很容易的，但所需的量子比特数需要多达数百万，现有技术还制造不出此类规模的量子计算机。今天最先进的量子计算机只有数百个量子比特——如 IBM 的 Osprey 有433个量子比特。中国研究人员提出了一种优化方法，将所需的量子比特数减少到372个量子比特——这是现有技术能做到的，虽然中国还没有如此先进的量子计算机。知名加密学专家 Bruce Schneier 在其博客上指出，中国研究人员提出的优化方法是基于 Peter Schnorr 最近发表的一篇受争议论文，Schnorr 的算法在较大的系统上崩溃了，所以中国的方法是否成功还是未知，但至少 IBM 的研究人员可以测试下了。

信源：https://www.solidot.org/story?sid=73807

美国铁路巨头Wabtec披露数据泄露事件，涉及多个敏感信息；

标签：美国，铁路巨头，数据泄露

据悉，美国铁路巨头 Wabtec Corporation 披露了一起数据泄露事件，该事件暴露了个人和一些敏感信息。Wabtec Wabtec是全球铁路行业世界上最大的附加值、以技术为基础的设备和服务提供商之一。该公司拥有约 25,000 名员工，业务遍及 50 个国家，是世界货运机车市场的领导者和运输领域的主要参与者。该公司 2021 年的财务业绩78 亿美元，据报道，Wabtec 在全球运营的 23,000 台机车运输了全球 20% 的货运量。

Wabtec披露数据泄露Wabtec 在年底发布的公告中表示，黑客早在 2022 年 3 月 15 日就破坏了他们的网络并在特定系统上安装了恶意软件。6 月 26 日，Wabtec 表示，他们在其网络上检测到异常活动，因此对此次攻击以及黑客是否窃取了数据进行了调查。次日， 新闻媒体报道称，Wabtec 一家工厂的消息来源表明，这是一场影响这家铁路巨头的勒索软件攻击。该公司并未正式回应传闻。

几周后，LockBit 发布了从 Wabtec 窃取的数据样本，并最终在 2022 年 8 月 20 日泄露了所有被盗数据，大概是在Wabtec未支付赎金之后。

正如 Wabtec 现在解释的那样，它对该事件的调查于2022年11月23日结束，当时数据审查专家确认 LockBit 窃取了包含敏感个人信息的文件。这些被盗数据暴露了各种敏感信息，包括：

全名，

出生日期，

非美国国民身份证号码，

非美国社会保险号码或财政代码，

护照号码，

IP地址，

雇主识别号码 (EIN)，

USCIS 或外国人登记号，

NHS（国民健康服务）编号（英国），

医疗记录/健康保险信息，

照片，性别，

工资、社会安全号码（美国）、

金融账户信息，

支付卡信息，

账户用户名和密码，

生物识别信息，

种族/民族，

刑事定罪或犯罪，

宗教信仰，

工会隶属关系

虽然没有迹象表明任何特定信息已经或将被滥用，但考虑到事件的性质和受影响的个人数据，但不能排除有人试图进行欺诈活动。出于这个原因，Wabtec 鼓励个人通过审查他们的财务账户报表和信用报告是否有任何异常情况，对身份盗用和欺诈事件保持警惕。

据悉，该公司于 2022 年 12 月 30 日开始向所有受影响的个人发送数据泄露通知，但受此事件影响的确切人数仍未披露。

信源：https://mp.weixin.qq.com/s/qFqwz6Fhs0d6lUT6MuZC8g

欧盟对Meta开出4.11亿美元罚单；

标签：欧盟，Meta

欧盟隐私监管机构 Irish DPC 对 Meta 开出了3.9亿欧元约4.11亿美元的罚单，社交巨人的在线广告被指违反了欧盟的隐私法。

Meta 不服裁决表示将提起上诉。诉讼有可能将持续数年，如果 Meta 最终败诉，它的核心商业模式可能会严重受损。根据 GDPR 隐私法律，欧盟禁止 Meta 旗下的 Facebook 和 Instagram 使用用户个人数据用于在线广告，Meta 必须向用户提供明确的同意反对选项，让用户选择加入它的个性化广告，而不是根据其服务的用户条款默认加入。

信源：https://www.solidot.org/story?sid=73809

哈德逊研究所报告：软件定义战术；

标签：软件定义战术

2022年12月，美国知名智库哈德逊研究所发布研究报告《软件定义战术：在竞争时代塑造军事软件采办以达成适应性与优势》。报告从项目执行官（PEO）的角度出发，探讨了软件的异质性；软件如何主宰现代杀伤链的速度与效应以及软件工厂的价值所在。报告的核心主题是研究在软件异质性的范围与程度不断扩展与提升的今天，如何实现软件的可适应性。

在当今这个计算与数据无处不在的竞争时代，多样化的软件是达成竞争性技术优势的关键。毋庸置疑，软件定义的世界已经到来。2019年5月3日，国防创新委员会发布《软件永不完成：为竞争优势重塑采办代码》文件以及一份实施计划。哈德逊研究所此次研究针对该文件没有明确探讨或者忽略的问题，探索了美国国防部为了主宰软件时代而必须应对的三大理念：

1、美国防部必须充分认识到软件的异质性，在软件定义的战场空间中不存在一种放之四海而皆准的解决方案，无论是软件架构还是数据标准都是如此。

2、美国防部必须深刻认识到是软件，而不是遗留的作战平台在主宰现代杀伤链和军事困境的速度与效用。

3、美国防部必须平等看待数字三要素：软件、数据和人工智能/机器学习。

报告从项目执行官（PEO）的角度出发，探讨了软件的异质性；软件如何主宰现代杀伤链的速度与效应以及软件工厂的价值所在。

信源：哈德逊研究所