2.35亿Twitter账户的记录被发布到一个网络黑客论坛上,通过将匿名账户与电子邮件地址和相关的真实姓名链接起来,这些账户的身份暴露了出来。
据安全专家、Hudson Rock首席技术官阿隆·盖尔(Alon Gal)称,他已经验证了这些数据,该数据库在本周早些时候大量传播,现在已经泄露。
这位网络安全专家在领英上写道:“该数据库包含2.35亿条推特用户及其电子邮件地址的独特记录,不幸的是,这会导致大量黑客攻击、有针对性的网络钓鱼和doxxing。这是我见过的最重大的泄密事件之一。”
据报道,泄露的数据还包括姓名、用户名、电子邮件地址、关注者数量和创建日期。
不过,VMware产品线营销经理罗恩·斯科特-亚当斯(Ron Scott-Adams)表示,这些数据至少是两年前的,主要是公开的信息(不包括电子邮件地址)。
Synopsys的副首席顾问杰米·布特(Jamie Boote)告诉《信息安全》(Infosecurity),这些数据可能是利用一个旧的(现已修复的)Twitter漏洞进行网络抓取的结果。
Boote说:“在2021年,人们发现推特API可以用来披露从其他来源提供的电子邮件地址,也可以泄露一些其他半公开的信息,比如将推特句柄与该电子邮件地址绑定。”
随后,有几个组织将泄露的电子邮件转储作为种子材料,开始培育句柄,然后他们可以收集其他信息,如关注者数量、个人资料创建日期和推特个人资料上的其他可用信息。
这位高管补充说:“这个问题去年已经解决了,所以这次泄露看起来像是有人收集了一堆这些加上一些新账户,并试图让埃隆·马斯克支付这些账户的费用。”
Boote说:“这是一个典型的例子,说明开发人员设计为只是工作的不安全API如何保持不安全,因为当涉及到安全时,眼不见为净。人类在保护他们看不到的东西方面很糟糕。一如既往,恶意攻击者掌握了你的电子邮件地址。”
为了安全起见,用户应该修改他们的推特密码,并确保它不会被其他网站重复使用。从现在开始,最好是删除所有看起来像来自Twitter的电子邮件,以避免网络钓鱼诈骗。
就在几周前,2022年11月,推特上有500多万用户受到影响。
155-2731-8020