推特承認540萬用戶數據泄露

來源：星女圈閱讀: 2.21W 次

小中大

字號：

用手機掃描二維碼在手機上繼續觀看

手機查看

推特承認540萬用戶數據泄露，推特已正式確認該攻擊已發生，雖然該問題已在今年早些時候得到解決，但推特表示它沒有考慮攻擊者已經擁有數據的可能性。推特承認540萬用戶數據泄露。

推特承認540萬用戶數據泄露1

8月5日，Twitter在其隱私中心發佈聲明，確認此前被曝出的540萬個賬戶信息泄露事件確實存在。據瞭解，黑客利用漏洞創建了一個包含540萬個Twitter賬戶的數據庫，知道某人的電子郵件地址或電話號碼就可能可以查到相關的Twitter賬戶，以及公開的個人資料信息。

Twitter表示，之所以直接發佈這一聲明，是因爲無法確認每一個可能受到影響的賬戶，因此無法單獨向賬戶發送信息泄露警告。“擁有匿名賬戶的人需要尤其注意，他們可能會被政府或其他人鎖定目標。”Twitter在聲明中強調。

被黑客利用的漏洞是Twitter 在2021年6月更新時引入的：如果有人向Twitter系統提交一個電子郵件地址或電話號碼，Twitter系統會回覆相關聯的賬戶信息。

2022年1月1日，網絡安全平臺Hackerone用戶zhirinovsky報告了這一漏洞，並在Twitter的漏洞獎勵計劃中獲得5040美元的獎勵。根據報告，該漏洞對擁有私人或匿名賬戶的用戶構成了“嚴重威脅”，可能被用來“創建數據庫”，或通過大數據分析出Twitter的用戶畫像。

得知此事後，Twitter立即進行了調查和修復。當時沒有證據表明有人利用了這個漏洞，然而這已是漏洞被引入代碼庫的6個月之後。Twitter並未在隱私中心對此發表任何說明。

7月21日，媒體RestorePrivacy注意到一位新用戶在黑客論壇上以3萬美元出售Twitter數據庫，稱涉及540萬用戶，包括“從名人到公司”的用戶數據。RestorePrivacy驗證發現，受害者來自世界各地，這些被泄露的數據包括與Twitter賬號綁定的電子郵件、電話號碼、公開的個人資料信息，並可以與真實的人相匹配。

此前，Twitter曾要求用戶提供電話號碼和電子郵件地址以建立雙因素認證，卻擅自將其用於定向廣告，並在今年5月同意支付1.5億美元與美國聯邦貿易委員會（FTC）達成和解。在8月5日發表的聲明中，Twitter鼓勵用戶通過其他雙因素認證的方式登錄，如使用認證應用程序或硬件安全密鑰等。它還建議匿名用戶不要在賬戶中添加公開的電話號碼或電子郵件地址，以儘可能隱藏身份。

這並非Twitter首次發生數據泄露事件。

2019年1月，Twitter披露了其修復的一個安全漏洞，而在此前四年多的時間裏，該漏洞使得許多用戶的私人推文被泄露。2019年12月， Twitter在安卓應用上的一個漏洞使黑客將 1700 萬個電話號碼與 Twitter 的用戶賬號相匹配。2020年 12月，因Twitter在此數據泄露事件中未能及時通知和充分記錄違規行爲，愛爾蘭數據保護委員會（DPC）對其開出了45萬歐元的罰單。