Twitter承認零日漏洞導致540萬用戶資料被竊 目前已修復

上個月 BleepingComputer 獲悉，有黑客表示他們可以利用社交媒體網站上的一個漏洞，建立一個包含 540 萬個 Twitter 帳戶配置檔案的列表。

此漏洞允許任何人提交電子郵件地址或電話號碼，驗證它是否與 Twitter 帳戶關聯，並檢索關聯的帳戶 ID。然後，威脅參與者使用此 ID 來抓取該帳戶的公共資訊。

這使得攻擊者能夠在 2021 年 12 月建立 540 萬 Twitter 使用者的個人資料，包括經過驗證的電話號碼或電子郵件地址，並抓取公共資訊，例如關注者數量、螢幕名稱、登入名、位置、個人資料圖片 URL 和其他資訊。

BleepingComputer 後來瞭解到，兩個不同的威脅參與者以低於原始售價的價格購買了這些資料，並且這些資料可能會在未來免費釋出。

今天，Twitter 已確認威脅行為者在 12 月使用的漏洞與他們在 2022 年 1 月報告並修復的漏洞相同，這是他們作為 HackerOne 漏洞賞金計劃的一部分。

Twitter 在今天的安全公告中披露：“在 2022 年 1 月，我們通過我們的漏洞賞金計劃收到了一份漏洞報告，該漏洞允許某人識別與帳戶關聯的電子郵件或電話號碼，或者，如果他們知道某人的電子郵件或電話號碼，他們可以識別他們的 Twitter 帳戶，如果存在的話”。