
超过 540 万条包含使用 1 月份修复的 API 漏洞窃取的非公开信息的 Twitter 用户记录已在黑客论坛上免费共享。
安全研究人员还披露了另一个可能更重要的大规模数据转储,其中包含数百万条 Twitter 记录,表明威胁参与者滥用此漏洞的范围有多广。
这些数据包括被抓取的公共信息以及不打算公开的私人电话号码和电子邮件地址。
推特数据泄露
去年 7 月,一名威胁行为者开始 以 30,000 美元的价格在黑客论坛上出售超过 540 万 Twitter 用户的私人信息 。
虽然大部分数据由公共信息组成,例如 Twitter ID、姓名、登录名、位置和验证状态,但也包括私人信息,例如电话号码和电子邮件地址。

来源:news.zzqidc.com
这些数据是在 2021 年 12 月使用HackerOne 错误赏金计划 中披露的 Twitter API 漏洞收集的,该漏洞允许人们将电话号码和电子邮件地址提交到 API 中以检索相关的 Twitter ID。
使用此 ID,威胁行为者随后可以抓取有关该帐户的公共信息,以创建包含私人和公共信息的用户记录,如下所示。

来源:news.zzqidc.com
目前尚不清楚 HackerOne 的披露是否被泄露,但 BleepingComputer 被告知多个威胁参与者正在利用该漏洞从 Twitter 窃取私人信息。
在news.zzqidc.com与 Twitter 分享了用户记录样本后,这家社交媒体公司 证实,他们 在 2022 年 1 月修复了一个 API 错误,导致数据泄露。
Breached 黑客论坛的所有者 Pompompurin 本周末告诉news.zzqidc.com,他们负责利用该漏洞并在另一个被称为“魔鬼”的威胁参与者与他们分享漏洞后创建大量 Twitter 用户记录转储。
除了出售的 540 万条记录外,还使用不同的 API 收集了另外 140 万条暂停用户的 Twitter 个人资料,使包含私人信息的 Twitter 个人资料总数达到近 700 万条。
Pompompurin 表示,这第二个数据转储并没有出售,只是在少数人之间私下共享。
在黑客论坛上共享的 Twitter 数据
在 9 月,以及最近的 11 月 24 日,540 万条 Twitter 记录现已在黑客论坛上免费共享。

来源:news.zzqidc.com
Pompompurin 已向news.zzqidc.com证实,这与 8 月份出售的数据相同,包括 5,485,635 条 Twitter 用户记录。
这些记录包含私人电子邮件地址或电话号码,以及公开的抓取数据,包括帐户的 Twitter ID、名称、屏幕名称、已验证状态、位置、URL、描述、关注者数量、帐户创建日期、好友数量、收藏夹数量、状态计数和个人资料图像 URL。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 540万Twitter用户的被盗数据在线泄—更多是私下共享