Twitter 雖然介面簡單卻在全球擁有非常多的用戶,近期來說,因為馬斯克的關係,Twitter 也成為大家討論的話題。現在 Twitter 爆出用戶資料外洩,總共有 540 萬筆隱私資訊被盜,而進行這些惡劣行為的駭客近日在論壇明碼標價 3 萬美元出售,原來隱私竟然如此便宜。
※圖片來源
駭客在網上以 3 萬美元出售 540 萬個 Twitter 用戶資訊
近日,一位名叫「Devil」的駭客在數據市場上架一筆交易,提到竊取了 Twitter 上多位用戶的相關資訊,確切來說是 5,485,636 筆,宣稱該資料庫中包含有 Twitter 用戶的各種資訊,其中不乏名人、企業與隨機用戶。在國外媒體 Bleeping Computer 與駭客的對話中,它們瞭解到這些資料是在 2021 年 12 月間利用一個漏洞所收集,並且明碼標價,有興趣的買家可以跟他們聯繫。
※圖片來源
正如同 Restore Privacy 在之前曾經報導過的那樣,被利用來收集用戶數據的漏洞在 1/1 透過 HaclerOne 向 Twitter 披露並且於 1/13 或的修復的漏洞相同。安全研究人員「zhirinovskiy」在披露時寫到,該漏洞允許任何一方在沒有經過任何身份驗證之下透過提交電話號碼、電子郵件來獲取任何用戶的 Twitter ID(這幾乎等於獲取帳號的使用者名稱),即使用戶在隱私設定中禁止此項操作也無法阻擋。
※圖片來源
然而,Devil 告訴 Bleeping Computer 自己與 「zhirinovskiy」無關 ,也從來沒有用過 HackerOne 這個漏洞,並且說現在很多人都想把他跟 zhirinovskiy 關連起來,但自己並不是他。駭客還說,你可以向該漏洞提供電子郵件位址和電話號碼,以卻底定是否與 Twitter 相關,並且檢索該帳號的 ID。
※圖片來源
Twitter 目前還沒證實這起數據洩漏事件,並且告訴 Bleeping Computer 自家正在調查這件事的真實性。然而,Bleeping Computer 與駭客共用的一小部分數據樣本中列出的一些 Twitter 用戶比對核查了個人資訊的準確性(電子郵件位址和電話號碼),由於只能驗證其中只能抓取極少部分,所以很難說所有 540 萬筆資訊都是有效的。
※圖片來源
儘管被掛牌出售的大多數都是公開數據,但威脅行為者可以在有針對性的網路釣魚攻擊中使用電子郵件地址和電話號碼。因此,所有 Twitter 使用者在收到看起來來自官方的電子郵件時都應保持警惕,特別是如果他們要求你輸入登入憑證時,使用者要堅持只在官方網站 Twitter.com 上完成。