资料来源:DALL-E
爱尔兰数据保护委员会 (DPC) 在上个月有关 Twitter 大规模数据泄露的新闻报道后发起了一项调查。
这次泄密影响了超过 540 万 Twitter 用户,包括从网站上收集的公共信息以及私人电话号码和电子邮件地址。这些数据是通过利用 Twitter 在 1 月份修复的 API 漏洞获得的。
在周五的一份声明中,爱尔兰隐私监管机构表示,“DPC 与 Twitter International Unlimited Company (‘TIC’) 就一起通知的个人数据泄露事件进行了通信,TIC 声称这是用于生成数据集并提出查询的源漏洞关于 GDPR 合规性。”
它还补充说,它认为“与 Twitter 用户的个人数据相关的 GDPR 和/或该法案的一项或多项规定可能已经和/或正在受到侵犯。”
作为 Twitter 的主要欧盟监管机构的 DPC 希望确定这家社交媒体巨头是否履行了其作为数据控制者在处理用户数据方面的义务,以及它是否违反了《通用数据保护条例》(EU GDPR) 的任何规定或 2018 年数据保护法。
两年前,DPC对 Twitter 处以 450,000 欧元(约合 550,000 美元)的罚款,原因是 Twitter 未能在 GDPR 要求的 72 小时期限内通知 DPC 违规行为以及违规记录不充分。
2021 年 11 月,DPC 还对 Meta 处以 2.65 亿欧元(2.755 亿美元)的罚款,原因是 Facebook 发生重大数据泄露事件,暴露了全球数亿用户的个人信息。
Facebook 用户数据也在一个著名的黑客论坛上共享,允许威胁行为者使用它进行有针对性的攻击。
自 7 月以来被盗的 Twitter 用户数据开始出售
2022 年 7 月,超过 540 万 Twitter 用户的私人信息在黑客论坛上以 30,000 美元的价格出售。
虽然大部分数据都是公开的,例如 Twitter ID、姓名、登录名、位置和验证状态,但泄露的数据库还包括非公开信息,例如电子邮件地址和电话号码。
这些数据是在 2021 年 12 月通过HackerOne 错误赏金计划披露的 Twitter API 漏洞收集的,该漏洞允许任何人向 API 提交电话号码或电子邮件地址,以将它们链接到相关的 Twitter ID。
在my.28u.cc与 Twitter 分享了被盗用户记录的样本后,该公司确认它遇到了与使用此 API 错误的攻击者相关的数据泄露,该错误已于 2022 年 1 月得到修复。
my.28u.cc发现该漏洞被 Breached 黑客论坛的所有者 Pompompurin 利用,他还使用不同的 API 收集了另外 140 万暂停的 Twitter 用户的信息。这使得为获取私人信息而被抓取的 Twitter 个人资料总数达到近 700 万。
在 9 月和 11 月期间,包含 5,485,635 条 Twitter 用户记录的同一数据库也在黑客论坛上免费共享。
这些记录包含大量公共和私人用户数据,包括个人电子邮件地址或电话号码,以及公开抓取的数据,例如 Twitter ID、姓名、屏幕名称、验证状态、位置、URL、描述、关注者数量、帐户创建日期、朋友数、收藏夹数、状态数和个人资料图片 URL。
属于数千万其他用户的数据也被盗
安全专家 Chad Loder 还在 Twitter 和 Mastodon上透露 了一个更大的数据转储的详细信息,该数据转储可能包含数百万条带有个人电话号码的 Twitter 记录,这些记录是使用先前修复的 API 错误和一些公开可用的信息收集的,例如验证状态、帐户名、 Twitter ID、简介和屏幕名称。
“我刚刚收到证据表明大规模的 Twitter 数据泄露影响了欧盟和美国的数百万 Twitter 账户,”Loder 说。
“我已经联系了受影响账户的样本,他们确认泄露的数据是准确的。这次泄露发生的时间不早于 2021 年。”
my.28u.cc已与多个受影响的用户核实此数据泄露中的电话号码是有效的。
值得注意的是,在 2002 年 8 月出售的原始数据中,这个泄露的数据库中没有任何电话号码,这表明威胁参与者之间大量交换 Twitter 用户数据,并且数据泄露的程度超出了以前已知的范围。
我们还被告知,第二个泄露的数据库包含超过 1700 万条记录,但这一信息尚未得到独立证实。
my.28u.cc已就此额外的私人用户信息数据转储联系 Twitter,但尚未收到回复。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 欧盟隐私监管机构调查大规模Twitter数据泄露事件
