如果您没有密切关注今年一月份来自HackerOne的公告,您可能不会知道,该公告详细说明了Twitter代码中的一个安全漏洞,黑客可以利用该漏洞窃取用户的电话号码和电子邮件。
好吧,数百万Twitter用户的列表刚刚出现在暗网上出售。
安全和隐私监管机构Restore Privacy报告说,540万Twitter用户的电子邮件和电话号码清单在一个名为Breached Forums的暗网网站上出售。出售该名单的黑客声称,其中包含“名人、公司、随机数、OG等”的私人数据。
1月份发现的漏洞与Twitter个人数据集的销售密切相关,绝非巧合。
一月份,HackerOne用户zhirinovskiy提交了一份他在分析Twitter代码库时发现的漏洞报告。这是一个可能允许威胁参与者访问Twitter用户的电子邮件和电话号码的漏洞。尽管当时没有任何数据泄露的迹象,但zhirinovskiy对此表示担忧。
“这是一个严重的威胁,”zhirinovskiy在他的错误报告中说。“因为人们不仅可以找到那些限制了通过电子邮件/电话号码被找到的用户,而且任何具有脚本/编码基本知识的攻击者都可以枚举出之前无法枚举的大量Twitter用户群(创建一个带有电话/电子邮件到用户名连接的数据库)。”
“感谢您的报告@zhirinovksiy,”一位名叫bugtriage_simon的Twitter员工回复了该报告。“我们正在调查此事,并会在有更多信息时及时通知您。感谢您考虑Twitter安全性。”
该回复是在1月6日,即zhirinovskiy发布报告的五天后。
1月13日,Twitter关闭了该报告并评论说:“我们认为这个问题现在已经得到解决。您能确认一下吗?”
“我可以确认问题已解决,”zhirinovskiy在同一天回答道。Twitter对他的努力给予了奖励。
从最初的错误报告的评论交流来看,Twitter花了将近两周的时间来修复该漏洞。在某个时候,一个威胁行为者潜入并窃取了540万个数据集。这是在zhirinovskiy发现这个漏洞之前还是在他发布这个漏洞之后进行的,仍然不得而知。目前已知的是,这些电子邮件和电话号码现在都在出售。
如果您的数据包含在违规行为中,您可能会收到垃圾邮件和诈骗电话的增加。
1条评论